Inciter les développeurs est la clé de meilleures pratiques de sécurité
Le paysage des cybermenaces devient de plus en plus complexe de jour en jour. Les attaquants analysent en permanence les réseaux à la recherche d'applications, de programmes et d'instances cloud vulnérables, et la dernière nouveauté du mois concerne les API, largement considérées comme une solution facile grâce à leurs contrôles de sécurité souvent laxistes. Elles sont si persistantes que les nouvelles applications peuvent parfois être compromises et exploitées quelques heures après leur déploiement. Le rapport Verizon 2021 sur les enquêtes sur les violations de données montre clairement que les menaces proférées contre les entreprises et les organisations sont plus dangereux aujourd'hui plus qu'à n'importe quel autre moment de l'histoire.
Il devient de plus en plus évident que la seule façon de réellement renforcer le logiciel en cours de création est de s'assurer qu'il repose sur un code sécurisé. En d'autres termes, le meilleur moyen de mettre fin à l'invasion des acteurs malveillants est de les empêcher d'accéder à vos applications. Une fois que vous commencez à mener cette guerre, la plupart des avantages sont biaisés en faveur des attaquants.
Cette situation a d'abord donné lieu à développement agile et DevOps, puis à l'ensemble Mouvement DevSecOps, où la sécurité est une responsabilité partagée pour toutes les personnes impliquées dans le processus de création de logiciels, du développement au déploiement. Mais les développeurs constituent la base de cette pyramide, et sans doute la partie la plus importante. Alors que la plupart des développeurs souhaitent faire leur part et écrire du code sécurisé, de nombreuses organisations pour lesquelles ils travaillent sont moins favorables aux changements qu'exige un changement de priorités aussi important.
Défaite intentionnellement
Pendant de nombreuses années, les développeurs ont été informés que leur rôle principal au sein de leur organisation était de créer et de déployer rapidement des applications dans un environnement dynamique, où les activités ne s'arrêtent jamais et les clients ne dorment jamais. Plus les développeurs pouvaient coder rapidement et déployer de fonctionnalités, plus ils étaient considérés comme utiles en termes d'évaluation des performances.
La sécurité n'était qu'une question secondaire, si tant est qu'elle soit prise en compte. Au lieu de cela, c'était aux équipes de sécurité des applications (AppSec) de s'occuper de tout cela. Les équipes AppSec n'étaient pas appréciées par la plupart des développeurs, car elles renvoyaient souvent des applications complètes au stade du développement pour appliquer des correctifs de sécurité ou pour réécrire du code afin de corriger des vulnérabilités. Et chaque heure qu'un développeur passait à travailler sur une application déjà « terminée » équivalait à une heure où il ne créait pas de nouvelles applications et fonctionnalités, diminuant ainsi ses performances (et sa valeur, aux yeux d'une entreprise particulièrement punitive).
L'environnement de menaces a ensuite modifié l'importance et la priorisation de la sécurité pour la plupart des entreprises. Selon le récent Coût d'un rapport de violation de données selon IBM et le Ponemon Institute, une faille de cybersécurité coûte aujourd'hui en moyenne 3,8 millions de dollars par incident, bien que ce ne soit guère la limite supérieure. À elle seule, une entreprise a subi des pertes de 1,3 milliard de dollars à la suite d'une faille sur son réseau. Les entreprises d'aujourd'hui souhaitent bénéficier de la sécurité offerte par DevSecOps, mais elles tardent malheureusement à récompenser les développeurs qui répondent à cet appel.
Le simple fait de demander aux équipes de développement de prendre en compte la sécurité ne fonctionnera pas, surtout si elles sont toujours encouragées uniquement sur la base de la rapidité. En fait, dans un tel système, les développeurs qui prennent le temps de se renseigner sur la sécurité et de sécuriser leur code pourraient perdre les meilleures évaluations de performances et les bonus lucratifs que leurs collègues moins soucieux de la sécurité continuent de gagner. C'est presque comme si les entreprises truquaient involontairement le système pour corriger leurs propres failles de sécurité, et cela revient à leur perception de l'équipe de développement. S'ils ne les considèrent pas comme les premières lignes de la sécurité, il est très peu probable qu'un plan viable visant à utiliser leur main-d'œuvre se concrétise.
Et cela ne tient même pas compte du manque de formation. Certains développeurs très compétents ont des décennies d'expérience dans le codage, mais très peu en matière de sécurité... Après tout, cela n'a jamais été exigé d'eux. À moins qu'une entreprise ne propose un bon programme de formation à ses programmeurs qualifiés, elle ne peut guère s'attendre à ce que ses développeurs acquièrent soudainement de nouvelles compétences et les mettent en œuvre de manière significative afin de réduire activement les vulnérabilités.
Récompenser les développeurs pour leurs bonnes pratiques en matière de sécurité
La bonne nouvelle, c'est que l'écrasante majorité des développeurs font leur travail parce qu'ils le trouvent à la fois stimulant et gratifiant, et parce qu'ils jouissent du respect que leur poste implique. Michael Shpilt, codeur professionnel de longue date a récemment écrit à propos de toutes les choses qui le motivent, lui et ses collègues programmeurs, dans leur travail de développement. Oui, il cite la compensation monétaire parmi ces incitations, mais elle se situe étonnamment loin dans la liste. Il privilégie plutôt le plaisir de créer quelque chose de nouveau, d'acquérir de nouvelles compétences et la satisfaction de savoir que son travail sera directement utilisé pour aider les autres. Il parle également de son désir de se sentir valorisé au sein de son entreprise et de sa communauté. Bref, les développeurs sont comme beaucoup de bonnes personnes qui sont fières de leur travail.
Les développeurs tels que Shpilt et d'autres ne veulent pas que des acteurs malveillants compromettent leur code et l'utilisent pour nuire à leur entreprise ou aux utilisateurs mêmes qu'ils essaient d'aider. Mais ils ne peuvent pas soudainement réorienter leurs priorités vers la sécurité sans soutien. Sinon, c'est presque comme si le système allait jouer contre eux.
Pour aider les équipes de développement à améliorer leurs prouesses en matière de cybersécurité, il faut d'abord leur enseigner les compétences nécessaires. L'utilisation d'un apprentissage échafaudé et d'outils tels que la formation Just-in-Time (JiT) peut rendre ce processus beaucoup moins pénible et aider à tirer parti des connaissances existantes dans le bon contexte.
Le principe de JiT est que les développeurs reçoivent les bonnes connaissances au bon moment. Par exemple, si un outil de formation pour développeurs JiT détecte qu'un programmeur crée un morceau de code non sécurisé ou introduit accidentellement une vulnérabilité dans son application, il peut s'activer et montrer au développeur comment il pourrait résoudre ce problème et comment écrire un code plus sécurisé pour remplir cette même fonction à l'avenir.
L'engagement en faveur de l'amélioration des compétences étant en place, les anciennes méthodes d'évaluation des développeurs basées uniquement sur la rapidité doivent être éliminées. Les codeurs devraient plutôt être récompensés en fonction de leur capacité à créer du code sécurisé, les meilleurs développeurs devenant champions de la sécurité qui aident le reste de l'équipe à améliorer ses compétences. Et ces champions doivent être récompensés à la fois par le prestige de l'entreprise et par une compensation financière. Il est également important de se rappeler que les développeurs n'ont généralement pas une expérience positive de la sécurité, et les encourager grâce à un apprentissage positif et amusant et à des incitations adaptées à leurs intérêts contribuera grandement à garantir à la fois la rétention des connaissances et le désir de continuer à développer leurs compétences.
Les entreprises peuvent toujours inclure la vitesse de codage dans l'évaluation des développeurs, mais en s'attendant à ce que le développement d'applications sécurisées prenne un peu plus de temps, d'autant plus que les codeurs acquièrent ces nouvelles compétences.
DevSecOps peut être la défense ultime contre les forces obscures d'un paysage de menaces de plus en plus dangereux. N'oubliez pas que les champions de ce nouveau monde, les développeurs qui créent constamment du nouveau code, doivent être respectés et rémunérés pour leur travail.
Vous voulez tester vos compétences en matière de sécurité par rapport à d'autres développeurs du monde entier ? Consultez Secure Code Warriors Jeux olympiques de 2021, et tu pourrais remporter un prix important lors de nos tournois mondiaux !
Les développeurs professionnels souhaitent adopter DevSecOps et écrire du code sécurisé, mais leurs organisations doivent soutenir ce changement radical si elles veulent que cet effort se développe.
Director General, Presidente y Cofundador
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Reserve una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Le paysage des cybermenaces devient de plus en plus complexe de jour en jour. Les attaquants analysent en permanence les réseaux à la recherche d'applications, de programmes et d'instances cloud vulnérables, et la dernière nouveauté du mois concerne les API, largement considérées comme une solution facile grâce à leurs contrôles de sécurité souvent laxistes. Elles sont si persistantes que les nouvelles applications peuvent parfois être compromises et exploitées quelques heures après leur déploiement. Le rapport Verizon 2021 sur les enquêtes sur les violations de données montre clairement que les menaces proférées contre les entreprises et les organisations sont plus dangereux aujourd'hui plus qu'à n'importe quel autre moment de l'histoire.
Il devient de plus en plus évident que la seule façon de réellement renforcer le logiciel en cours de création est de s'assurer qu'il repose sur un code sécurisé. En d'autres termes, le meilleur moyen de mettre fin à l'invasion des acteurs malveillants est de les empêcher d'accéder à vos applications. Une fois que vous commencez à mener cette guerre, la plupart des avantages sont biaisés en faveur des attaquants.
Cette situation a d'abord donné lieu à développement agile et DevOps, puis à l'ensemble Mouvement DevSecOps, où la sécurité est une responsabilité partagée pour toutes les personnes impliquées dans le processus de création de logiciels, du développement au déploiement. Mais les développeurs constituent la base de cette pyramide, et sans doute la partie la plus importante. Alors que la plupart des développeurs souhaitent faire leur part et écrire du code sécurisé, de nombreuses organisations pour lesquelles ils travaillent sont moins favorables aux changements qu'exige un changement de priorités aussi important.
Défaite intentionnellement
Pendant de nombreuses années, les développeurs ont été informés que leur rôle principal au sein de leur organisation était de créer et de déployer rapidement des applications dans un environnement dynamique, où les activités ne s'arrêtent jamais et les clients ne dorment jamais. Plus les développeurs pouvaient coder rapidement et déployer de fonctionnalités, plus ils étaient considérés comme utiles en termes d'évaluation des performances.
La sécurité n'était qu'une question secondaire, si tant est qu'elle soit prise en compte. Au lieu de cela, c'était aux équipes de sécurité des applications (AppSec) de s'occuper de tout cela. Les équipes AppSec n'étaient pas appréciées par la plupart des développeurs, car elles renvoyaient souvent des applications complètes au stade du développement pour appliquer des correctifs de sécurité ou pour réécrire du code afin de corriger des vulnérabilités. Et chaque heure qu'un développeur passait à travailler sur une application déjà « terminée » équivalait à une heure où il ne créait pas de nouvelles applications et fonctionnalités, diminuant ainsi ses performances (et sa valeur, aux yeux d'une entreprise particulièrement punitive).
L'environnement de menaces a ensuite modifié l'importance et la priorisation de la sécurité pour la plupart des entreprises. Selon le récent Coût d'un rapport de violation de données selon IBM et le Ponemon Institute, une faille de cybersécurité coûte aujourd'hui en moyenne 3,8 millions de dollars par incident, bien que ce ne soit guère la limite supérieure. À elle seule, une entreprise a subi des pertes de 1,3 milliard de dollars à la suite d'une faille sur son réseau. Les entreprises d'aujourd'hui souhaitent bénéficier de la sécurité offerte par DevSecOps, mais elles tardent malheureusement à récompenser les développeurs qui répondent à cet appel.
Le simple fait de demander aux équipes de développement de prendre en compte la sécurité ne fonctionnera pas, surtout si elles sont toujours encouragées uniquement sur la base de la rapidité. En fait, dans un tel système, les développeurs qui prennent le temps de se renseigner sur la sécurité et de sécuriser leur code pourraient perdre les meilleures évaluations de performances et les bonus lucratifs que leurs collègues moins soucieux de la sécurité continuent de gagner. C'est presque comme si les entreprises truquaient involontairement le système pour corriger leurs propres failles de sécurité, et cela revient à leur perception de l'équipe de développement. S'ils ne les considèrent pas comme les premières lignes de la sécurité, il est très peu probable qu'un plan viable visant à utiliser leur main-d'œuvre se concrétise.
Et cela ne tient même pas compte du manque de formation. Certains développeurs très compétents ont des décennies d'expérience dans le codage, mais très peu en matière de sécurité... Après tout, cela n'a jamais été exigé d'eux. À moins qu'une entreprise ne propose un bon programme de formation à ses programmeurs qualifiés, elle ne peut guère s'attendre à ce que ses développeurs acquièrent soudainement de nouvelles compétences et les mettent en œuvre de manière significative afin de réduire activement les vulnérabilités.
Récompenser les développeurs pour leurs bonnes pratiques en matière de sécurité
La bonne nouvelle, c'est que l'écrasante majorité des développeurs font leur travail parce qu'ils le trouvent à la fois stimulant et gratifiant, et parce qu'ils jouissent du respect que leur poste implique. Michael Shpilt, codeur professionnel de longue date a récemment écrit à propos de toutes les choses qui le motivent, lui et ses collègues programmeurs, dans leur travail de développement. Oui, il cite la compensation monétaire parmi ces incitations, mais elle se situe étonnamment loin dans la liste. Il privilégie plutôt le plaisir de créer quelque chose de nouveau, d'acquérir de nouvelles compétences et la satisfaction de savoir que son travail sera directement utilisé pour aider les autres. Il parle également de son désir de se sentir valorisé au sein de son entreprise et de sa communauté. Bref, les développeurs sont comme beaucoup de bonnes personnes qui sont fières de leur travail.
Les développeurs tels que Shpilt et d'autres ne veulent pas que des acteurs malveillants compromettent leur code et l'utilisent pour nuire à leur entreprise ou aux utilisateurs mêmes qu'ils essaient d'aider. Mais ils ne peuvent pas soudainement réorienter leurs priorités vers la sécurité sans soutien. Sinon, c'est presque comme si le système allait jouer contre eux.
Pour aider les équipes de développement à améliorer leurs prouesses en matière de cybersécurité, il faut d'abord leur enseigner les compétences nécessaires. L'utilisation d'un apprentissage échafaudé et d'outils tels que la formation Just-in-Time (JiT) peut rendre ce processus beaucoup moins pénible et aider à tirer parti des connaissances existantes dans le bon contexte.
Le principe de JiT est que les développeurs reçoivent les bonnes connaissances au bon moment. Par exemple, si un outil de formation pour développeurs JiT détecte qu'un programmeur crée un morceau de code non sécurisé ou introduit accidentellement une vulnérabilité dans son application, il peut s'activer et montrer au développeur comment il pourrait résoudre ce problème et comment écrire un code plus sécurisé pour remplir cette même fonction à l'avenir.
L'engagement en faveur de l'amélioration des compétences étant en place, les anciennes méthodes d'évaluation des développeurs basées uniquement sur la rapidité doivent être éliminées. Les codeurs devraient plutôt être récompensés en fonction de leur capacité à créer du code sécurisé, les meilleurs développeurs devenant champions de la sécurité qui aident le reste de l'équipe à améliorer ses compétences. Et ces champions doivent être récompensés à la fois par le prestige de l'entreprise et par une compensation financière. Il est également important de se rappeler que les développeurs n'ont généralement pas une expérience positive de la sécurité, et les encourager grâce à un apprentissage positif et amusant et à des incitations adaptées à leurs intérêts contribuera grandement à garantir à la fois la rétention des connaissances et le désir de continuer à développer leurs compétences.
Les entreprises peuvent toujours inclure la vitesse de codage dans l'évaluation des développeurs, mais en s'attendant à ce que le développement d'applications sécurisées prenne un peu plus de temps, d'autant plus que les codeurs acquièrent ces nouvelles compétences.
DevSecOps peut être la défense ultime contre les forces obscures d'un paysage de menaces de plus en plus dangereux. N'oubliez pas que les champions de ce nouveau monde, les développeurs qui créent constamment du nouveau code, doivent être respectés et rémunérés pour leur travail.
Vous voulez tester vos compétences en matière de sécurité par rapport à d'autres développeurs du monde entier ? Consultez Secure Code Warriors Jeux olympiques de 2021, et tu pourrais remporter un prix important lors de nos tournois mondiaux !
Le paysage des cybermenaces devient de plus en plus complexe de jour en jour. Les attaquants analysent en permanence les réseaux à la recherche d'applications, de programmes et d'instances cloud vulnérables, et la dernière nouveauté du mois concerne les API, largement considérées comme une solution facile grâce à leurs contrôles de sécurité souvent laxistes. Elles sont si persistantes que les nouvelles applications peuvent parfois être compromises et exploitées quelques heures après leur déploiement. Le rapport Verizon 2021 sur les enquêtes sur les violations de données montre clairement que les menaces proférées contre les entreprises et les organisations sont plus dangereux aujourd'hui plus qu'à n'importe quel autre moment de l'histoire.
Il devient de plus en plus évident que la seule façon de réellement renforcer le logiciel en cours de création est de s'assurer qu'il repose sur un code sécurisé. En d'autres termes, le meilleur moyen de mettre fin à l'invasion des acteurs malveillants est de les empêcher d'accéder à vos applications. Une fois que vous commencez à mener cette guerre, la plupart des avantages sont biaisés en faveur des attaquants.
Cette situation a d'abord donné lieu à développement agile et DevOps, puis à l'ensemble Mouvement DevSecOps, où la sécurité est une responsabilité partagée pour toutes les personnes impliquées dans le processus de création de logiciels, du développement au déploiement. Mais les développeurs constituent la base de cette pyramide, et sans doute la partie la plus importante. Alors que la plupart des développeurs souhaitent faire leur part et écrire du code sécurisé, de nombreuses organisations pour lesquelles ils travaillent sont moins favorables aux changements qu'exige un changement de priorités aussi important.
Défaite intentionnellement
Pendant de nombreuses années, les développeurs ont été informés que leur rôle principal au sein de leur organisation était de créer et de déployer rapidement des applications dans un environnement dynamique, où les activités ne s'arrêtent jamais et les clients ne dorment jamais. Plus les développeurs pouvaient coder rapidement et déployer de fonctionnalités, plus ils étaient considérés comme utiles en termes d'évaluation des performances.
La sécurité n'était qu'une question secondaire, si tant est qu'elle soit prise en compte. Au lieu de cela, c'était aux équipes de sécurité des applications (AppSec) de s'occuper de tout cela. Les équipes AppSec n'étaient pas appréciées par la plupart des développeurs, car elles renvoyaient souvent des applications complètes au stade du développement pour appliquer des correctifs de sécurité ou pour réécrire du code afin de corriger des vulnérabilités. Et chaque heure qu'un développeur passait à travailler sur une application déjà « terminée » équivalait à une heure où il ne créait pas de nouvelles applications et fonctionnalités, diminuant ainsi ses performances (et sa valeur, aux yeux d'une entreprise particulièrement punitive).
L'environnement de menaces a ensuite modifié l'importance et la priorisation de la sécurité pour la plupart des entreprises. Selon le récent Coût d'un rapport de violation de données selon IBM et le Ponemon Institute, une faille de cybersécurité coûte aujourd'hui en moyenne 3,8 millions de dollars par incident, bien que ce ne soit guère la limite supérieure. À elle seule, une entreprise a subi des pertes de 1,3 milliard de dollars à la suite d'une faille sur son réseau. Les entreprises d'aujourd'hui souhaitent bénéficier de la sécurité offerte par DevSecOps, mais elles tardent malheureusement à récompenser les développeurs qui répondent à cet appel.
Le simple fait de demander aux équipes de développement de prendre en compte la sécurité ne fonctionnera pas, surtout si elles sont toujours encouragées uniquement sur la base de la rapidité. En fait, dans un tel système, les développeurs qui prennent le temps de se renseigner sur la sécurité et de sécuriser leur code pourraient perdre les meilleures évaluations de performances et les bonus lucratifs que leurs collègues moins soucieux de la sécurité continuent de gagner. C'est presque comme si les entreprises truquaient involontairement le système pour corriger leurs propres failles de sécurité, et cela revient à leur perception de l'équipe de développement. S'ils ne les considèrent pas comme les premières lignes de la sécurité, il est très peu probable qu'un plan viable visant à utiliser leur main-d'œuvre se concrétise.
Et cela ne tient même pas compte du manque de formation. Certains développeurs très compétents ont des décennies d'expérience dans le codage, mais très peu en matière de sécurité... Après tout, cela n'a jamais été exigé d'eux. À moins qu'une entreprise ne propose un bon programme de formation à ses programmeurs qualifiés, elle ne peut guère s'attendre à ce que ses développeurs acquièrent soudainement de nouvelles compétences et les mettent en œuvre de manière significative afin de réduire activement les vulnérabilités.
Récompenser les développeurs pour leurs bonnes pratiques en matière de sécurité
La bonne nouvelle, c'est que l'écrasante majorité des développeurs font leur travail parce qu'ils le trouvent à la fois stimulant et gratifiant, et parce qu'ils jouissent du respect que leur poste implique. Michael Shpilt, codeur professionnel de longue date a récemment écrit à propos de toutes les choses qui le motivent, lui et ses collègues programmeurs, dans leur travail de développement. Oui, il cite la compensation monétaire parmi ces incitations, mais elle se situe étonnamment loin dans la liste. Il privilégie plutôt le plaisir de créer quelque chose de nouveau, d'acquérir de nouvelles compétences et la satisfaction de savoir que son travail sera directement utilisé pour aider les autres. Il parle également de son désir de se sentir valorisé au sein de son entreprise et de sa communauté. Bref, les développeurs sont comme beaucoup de bonnes personnes qui sont fières de leur travail.
Les développeurs tels que Shpilt et d'autres ne veulent pas que des acteurs malveillants compromettent leur code et l'utilisent pour nuire à leur entreprise ou aux utilisateurs mêmes qu'ils essaient d'aider. Mais ils ne peuvent pas soudainement réorienter leurs priorités vers la sécurité sans soutien. Sinon, c'est presque comme si le système allait jouer contre eux.
Pour aider les équipes de développement à améliorer leurs prouesses en matière de cybersécurité, il faut d'abord leur enseigner les compétences nécessaires. L'utilisation d'un apprentissage échafaudé et d'outils tels que la formation Just-in-Time (JiT) peut rendre ce processus beaucoup moins pénible et aider à tirer parti des connaissances existantes dans le bon contexte.
Le principe de JiT est que les développeurs reçoivent les bonnes connaissances au bon moment. Par exemple, si un outil de formation pour développeurs JiT détecte qu'un programmeur crée un morceau de code non sécurisé ou introduit accidentellement une vulnérabilité dans son application, il peut s'activer et montrer au développeur comment il pourrait résoudre ce problème et comment écrire un code plus sécurisé pour remplir cette même fonction à l'avenir.
L'engagement en faveur de l'amélioration des compétences étant en place, les anciennes méthodes d'évaluation des développeurs basées uniquement sur la rapidité doivent être éliminées. Les codeurs devraient plutôt être récompensés en fonction de leur capacité à créer du code sécurisé, les meilleurs développeurs devenant champions de la sécurité qui aident le reste de l'équipe à améliorer ses compétences. Et ces champions doivent être récompensés à la fois par le prestige de l'entreprise et par une compensation financière. Il est également important de se rappeler que les développeurs n'ont généralement pas une expérience positive de la sécurité, et les encourager grâce à un apprentissage positif et amusant et à des incitations adaptées à leurs intérêts contribuera grandement à garantir à la fois la rétention des connaissances et le désir de continuer à développer leurs compétences.
Les entreprises peuvent toujours inclure la vitesse de codage dans l'évaluation des développeurs, mais en s'attendant à ce que le développement d'applications sécurisées prenne un peu plus de temps, d'autant plus que les codeurs acquièrent ces nouvelles compétences.
DevSecOps peut être la défense ultime contre les forces obscures d'un paysage de menaces de plus en plus dangereux. N'oubliez pas que les champions de ce nouveau monde, les développeurs qui créent constamment du nouveau code, doivent être respectés et rémunérés pour leur travail.
Vous voulez tester vos compétences en matière de sécurité par rapport à d'autres développeurs du monde entier ? Consultez Secure Code Warriors Jeux olympiques de 2021, et tu pourrais remporter un prix important lors de nos tournois mondiaux !
Haga clic en el enlace siguiente y descargue el PDF de este recurso.
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Mostrar el informeReserve una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Le paysage des cybermenaces devient de plus en plus complexe de jour en jour. Les attaquants analysent en permanence les réseaux à la recherche d'applications, de programmes et d'instances cloud vulnérables, et la dernière nouveauté du mois concerne les API, largement considérées comme une solution facile grâce à leurs contrôles de sécurité souvent laxistes. Elles sont si persistantes que les nouvelles applications peuvent parfois être compromises et exploitées quelques heures après leur déploiement. Le rapport Verizon 2021 sur les enquêtes sur les violations de données montre clairement que les menaces proférées contre les entreprises et les organisations sont plus dangereux aujourd'hui plus qu'à n'importe quel autre moment de l'histoire.
Il devient de plus en plus évident que la seule façon de réellement renforcer le logiciel en cours de création est de s'assurer qu'il repose sur un code sécurisé. En d'autres termes, le meilleur moyen de mettre fin à l'invasion des acteurs malveillants est de les empêcher d'accéder à vos applications. Une fois que vous commencez à mener cette guerre, la plupart des avantages sont biaisés en faveur des attaquants.
Cette situation a d'abord donné lieu à développement agile et DevOps, puis à l'ensemble Mouvement DevSecOps, où la sécurité est une responsabilité partagée pour toutes les personnes impliquées dans le processus de création de logiciels, du développement au déploiement. Mais les développeurs constituent la base de cette pyramide, et sans doute la partie la plus importante. Alors que la plupart des développeurs souhaitent faire leur part et écrire du code sécurisé, de nombreuses organisations pour lesquelles ils travaillent sont moins favorables aux changements qu'exige un changement de priorités aussi important.
Défaite intentionnellement
Pendant de nombreuses années, les développeurs ont été informés que leur rôle principal au sein de leur organisation était de créer et de déployer rapidement des applications dans un environnement dynamique, où les activités ne s'arrêtent jamais et les clients ne dorment jamais. Plus les développeurs pouvaient coder rapidement et déployer de fonctionnalités, plus ils étaient considérés comme utiles en termes d'évaluation des performances.
La sécurité n'était qu'une question secondaire, si tant est qu'elle soit prise en compte. Au lieu de cela, c'était aux équipes de sécurité des applications (AppSec) de s'occuper de tout cela. Les équipes AppSec n'étaient pas appréciées par la plupart des développeurs, car elles renvoyaient souvent des applications complètes au stade du développement pour appliquer des correctifs de sécurité ou pour réécrire du code afin de corriger des vulnérabilités. Et chaque heure qu'un développeur passait à travailler sur une application déjà « terminée » équivalait à une heure où il ne créait pas de nouvelles applications et fonctionnalités, diminuant ainsi ses performances (et sa valeur, aux yeux d'une entreprise particulièrement punitive).
L'environnement de menaces a ensuite modifié l'importance et la priorisation de la sécurité pour la plupart des entreprises. Selon le récent Coût d'un rapport de violation de données selon IBM et le Ponemon Institute, une faille de cybersécurité coûte aujourd'hui en moyenne 3,8 millions de dollars par incident, bien que ce ne soit guère la limite supérieure. À elle seule, une entreprise a subi des pertes de 1,3 milliard de dollars à la suite d'une faille sur son réseau. Les entreprises d'aujourd'hui souhaitent bénéficier de la sécurité offerte par DevSecOps, mais elles tardent malheureusement à récompenser les développeurs qui répondent à cet appel.
Le simple fait de demander aux équipes de développement de prendre en compte la sécurité ne fonctionnera pas, surtout si elles sont toujours encouragées uniquement sur la base de la rapidité. En fait, dans un tel système, les développeurs qui prennent le temps de se renseigner sur la sécurité et de sécuriser leur code pourraient perdre les meilleures évaluations de performances et les bonus lucratifs que leurs collègues moins soucieux de la sécurité continuent de gagner. C'est presque comme si les entreprises truquaient involontairement le système pour corriger leurs propres failles de sécurité, et cela revient à leur perception de l'équipe de développement. S'ils ne les considèrent pas comme les premières lignes de la sécurité, il est très peu probable qu'un plan viable visant à utiliser leur main-d'œuvre se concrétise.
Et cela ne tient même pas compte du manque de formation. Certains développeurs très compétents ont des décennies d'expérience dans le codage, mais très peu en matière de sécurité... Après tout, cela n'a jamais été exigé d'eux. À moins qu'une entreprise ne propose un bon programme de formation à ses programmeurs qualifiés, elle ne peut guère s'attendre à ce que ses développeurs acquièrent soudainement de nouvelles compétences et les mettent en œuvre de manière significative afin de réduire activement les vulnérabilités.
Récompenser les développeurs pour leurs bonnes pratiques en matière de sécurité
La bonne nouvelle, c'est que l'écrasante majorité des développeurs font leur travail parce qu'ils le trouvent à la fois stimulant et gratifiant, et parce qu'ils jouissent du respect que leur poste implique. Michael Shpilt, codeur professionnel de longue date a récemment écrit à propos de toutes les choses qui le motivent, lui et ses collègues programmeurs, dans leur travail de développement. Oui, il cite la compensation monétaire parmi ces incitations, mais elle se situe étonnamment loin dans la liste. Il privilégie plutôt le plaisir de créer quelque chose de nouveau, d'acquérir de nouvelles compétences et la satisfaction de savoir que son travail sera directement utilisé pour aider les autres. Il parle également de son désir de se sentir valorisé au sein de son entreprise et de sa communauté. Bref, les développeurs sont comme beaucoup de bonnes personnes qui sont fières de leur travail.
Les développeurs tels que Shpilt et d'autres ne veulent pas que des acteurs malveillants compromettent leur code et l'utilisent pour nuire à leur entreprise ou aux utilisateurs mêmes qu'ils essaient d'aider. Mais ils ne peuvent pas soudainement réorienter leurs priorités vers la sécurité sans soutien. Sinon, c'est presque comme si le système allait jouer contre eux.
Pour aider les équipes de développement à améliorer leurs prouesses en matière de cybersécurité, il faut d'abord leur enseigner les compétences nécessaires. L'utilisation d'un apprentissage échafaudé et d'outils tels que la formation Just-in-Time (JiT) peut rendre ce processus beaucoup moins pénible et aider à tirer parti des connaissances existantes dans le bon contexte.
Le principe de JiT est que les développeurs reçoivent les bonnes connaissances au bon moment. Par exemple, si un outil de formation pour développeurs JiT détecte qu'un programmeur crée un morceau de code non sécurisé ou introduit accidentellement une vulnérabilité dans son application, il peut s'activer et montrer au développeur comment il pourrait résoudre ce problème et comment écrire un code plus sécurisé pour remplir cette même fonction à l'avenir.
L'engagement en faveur de l'amélioration des compétences étant en place, les anciennes méthodes d'évaluation des développeurs basées uniquement sur la rapidité doivent être éliminées. Les codeurs devraient plutôt être récompensés en fonction de leur capacité à créer du code sécurisé, les meilleurs développeurs devenant champions de la sécurité qui aident le reste de l'équipe à améliorer ses compétences. Et ces champions doivent être récompensés à la fois par le prestige de l'entreprise et par une compensation financière. Il est également important de se rappeler que les développeurs n'ont généralement pas une expérience positive de la sécurité, et les encourager grâce à un apprentissage positif et amusant et à des incitations adaptées à leurs intérêts contribuera grandement à garantir à la fois la rétention des connaissances et le désir de continuer à développer leurs compétences.
Les entreprises peuvent toujours inclure la vitesse de codage dans l'évaluation des développeurs, mais en s'attendant à ce que le développement d'applications sécurisées prenne un peu plus de temps, d'autant plus que les codeurs acquièrent ces nouvelles compétences.
DevSecOps peut être la défense ultime contre les forces obscures d'un paysage de menaces de plus en plus dangereux. N'oubliez pas que les champions de ce nouveau monde, les développeurs qui créent constamment du nouveau code, doivent être respectés et rémunérés pour leur travail.
Vous voulez tester vos compétences en matière de sécurité par rapport à d'autres développeurs du monde entier ? Consultez Secure Code Warriors Jeux olympiques de 2021, et tu pourrais remporter un prix important lors de nos tournois mondiaux !
Índice
Director General, Presidente y Cofundador
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Reserve una demostraciónDescargarRecursos para ayudarle a empezar
Temas y contenidos de formación sobre el código seguro
Nuestro contenido de vanguardia evoluciona constantemente para adaptarse al panorama en constante cambio del desarrollo de software, teniendo en cuenta su función. Temas que abarcan desde la IA hasta la inyección de XQuery, ofrecidos para una variedad de puestos, desde arquitectos hasta ingenieros, pasando por jefes de producto y control de calidad. Descubra una visión general de lo que nuestro catálogo de contenidos tiene para ofrecer por tema y por función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para ayudarle a empezar
Cybermon está de vuelta: las missions Beat the Boss ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible todo el año en SCW. Implemente desafíos de seguridad avanzados relacionados con la IA y el LLM para reforzar el desarrollo seguro de la IA a gran escala.
Explicación de la ley sobre ciberresiliencia: lo que significa para el desarrollo de software seguro desde el diseño.
Descubra qué exige la ley europea sobre ciberresiliencia (CRA), a quién se aplica y cómo los equipos de ingenieros pueden prepararse mediante prácticas de seguridad desde el diseño, la prevención de vulnerabilidades y el refuerzo de las capacidades de los desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El facilitador 1 da inicio a nuestra serie de 10 partes titulada «Facilitadores del éxito», mostrando cómo combinar la codificación segura con resultados comerciales, como la reducción de riesgos y la rapidez, para garantizar la madurez a largo plazo de los programas.
