DevSecOps dans la région DACH : principaux résultats des programmes pilotes de codage sécurisé
Les meilleures pratiques en matière de cybersécurité sont un sujet d'actualité depuis plus de dix ans et font l'objet de nombreuses discussions au niveau gouvernemental dans la plupart des régions du monde. Les cyberattaques sont essentiellement une réalité quotidienne, et toute entité stockant de précieuses données privées en ligne est une cible potentielle. Rien qu'en Allemagne, le ministère fédéral de l'Éducation et de la Recherche estime que 96 % des petites et moyennes entreprises ont déjà été confrontées à un incident de sécurité informatique. Le même rapport souligne le besoin urgent de recherches, de législation et de sensibilisation en matière de cybersécurité, avec un appel définitif à l'inclusion d'une formation à la sécurité plus poussée dans les domaines de l'informatique et des domaines liés à l'informatique.
Avec l'avènement de GDPR, ainsi qu'une stratégie révisée à la suite d'une attaque en plusieurs étapes qui a révélé les données sensibles de nombreuses personnalités publiques, ainsi que des serveurs du gouvernement fédéral allemand, il est clair que la sensibilisation et les actions en matière de cybersécurité sont au cœur des préoccupations des dirigeants de la région DACH. Le piratage de fin 2018 a été exécuté par un étudiant de 20 ans relativement peu qualifié, son principal point d'accès à des informations hautement sensibles étant simplement possible en devinant des mots de passe. Bien qu'il s'agisse d'un exploit d'authentification extrêmement préoccupant, il a mis en évidence la nécessité d'une bien meilleure sensibilisation à la sécurité au niveau du gouvernement, des entreprises et de la société. Un rapport de 2019 a souligné que L'Allemagne était à la traîne en termes d'initiatives de défense contre la cybersécurité, en s'appuyant sur la législation comme principale tactique. Cependant, avec l'arrivée de DevSecOps en tant que méthodologie de développement idéale, de nombreuses entreprises ont reconnu la nécessité d'une formation pratique, de la création de logiciels sécurisés dès la conception et de programmes de sensibilisation à la sécurité à l'échelle de l'entreprise.
Le cœur de la sécurité logicielle en DACH
Des organisations comme GUÊPE et ONGLET publier des classements vérifiés des vulnérabilités les plus fréquentes. Dans tous les langages, l'injection SQL occupe la première place et, bien qu'elle date de plusieurs décennies, il s'agit d'une faille courante et souvent exploitée avec des conséquences désastreuses.
Logiciel bancaire Swiss BPC, SmartVista, a été alerté d'une vulnérabilité dans SQLi par SwissCert, il est toutefois resté intact pendant des mois malgré le risque de révéler des données sensibles sur les clients, y compris les numéros de cartes de crédit. L'injection SQL peut entraîner et entraîne des violations dangereuses, tout comme le Violation de plusieurs ministères et universités en 2017 aux États-Unis et au Royaume-Uni. La plupart de ces incidents sont dus à des processus de validation des entrées laxistes, qui permettent à un attaquant d'insérer du code malveillant depuis le front-end d'une application. Une autre source de vulnérabilité courante est l'utilisation de code fournisseur non sécurisé qui n'est pas contrôlé pour détecter les bogues de sécurité, et des failles sont ainsi introduites dans un environnement de production préalablement scanné et effacé. Aucun de ces points d'accès n'est spécifique à la région DACH. Il s'agit plutôt d'exemples mondiaux de mauvaises pratiques de sécurité qui ne peuvent pas perdurer alors que le monde produit davantage de code.
Il est impératif de corriger les problèmes dès qu'ils sont découverts, et la décision de SmartVista de traîner les pieds aurait pu être désastreuse. Bien que la DACH ait connu son lot de violations, des directives plus ciblées et un soutien en matière de sensibilisation à la sécurité et de formation pourraient éviter que des problèmes potentiels au niveau organisationnel ne deviennent incontrôlables, ce qui nécessitera une législation beaucoup plus spécifique en matière de formation évaluée pour les développeurs.
Toutes les formations au code sécurisé ne sont pas créées de la même manière.
De nombreuses directives de cybersécurité dans le monde sont de plus en plus complètes, mais elles restent peu spécifiques lorsqu'il s'agit de définir une formation à la sécurité efficace. Le Directive NIS dans l'UE inclut l'exigence de « sensibilisation, de formation et d'éducation » au niveau national, mais l'adoption précipitée d'une solution de formation peut ne pas avoir le résultat escompté en termes de réduction tangible des risques si des éléments clés ne sont pas inclus dans le cadre du renforcement des compétences des développeurs et du changement organisationnel.
Les solutions pédagogiques varient, et la formation doit être spécifique au travail quotidien du développeur (y compris la capacité d'apprendre dans la langue et le cadre de son choix) tout en restant engageante et mesurable dans le temps.
Les solutions de formation statiques, telles que la formation vidéo assistée par ordinateur, sont souvent trop génériques et rarement revisitées ou évaluées en fonction de leur efficacité en matière de sensibilisation et de compétence pour empêcher les vulnérabilités de saisir le code au fur et à mesure de son écriture. Entraînement dynamique, est toutefois essentiel pour améliorer les compétences des développeurs à l'aide d'exemples contextuels, en plus de fournir des mesures qui influencent les processus d'atténuation des activités. Il est fréquemment mis à jour, favorise un niveau élevé de rétention des connaissances et contribue à la formation de développeurs soucieux de la sécurité qui contribuent à une culture de sécurité positive sur leur lieu de travail.
Points de données Secure Code Warrior provenant des pilotes DACH :
Ema Rimeike, directrice des ventes (maîtrise en cybersécurité) de Secure Code Warrior, a travaillé en étroite collaboration avec des organisations de la région DACH, en organisant des programmes pilotes pour les développeurs afin d'évaluer les compétences internes des développeurs en matière de codage sécurisé, leur engagement envers les meilleures pratiques de sécurité, ainsi que la culture de sécurité globale de l'entreprise. Grâce à une formation au code sécurisé dynamique et gamifiée, ses principales conclusions laissent entrevoir un avenir prometteur lorsque les développeurs disposeront des connaissances et des outils nécessaires à une réduction des vulnérabilités réussie dès le début du SDLC.
Au cours de ses programmes pilotes, elle a rassemblé des statistiques basées sur 90 minutes en moyenne passées par utilisateur sur la plateforme Secure Code Warrior (SCW), dans lequel ils ont joué 15 défis de codage sécurisé (des leçons de petite taille, ludiques et à votre rythme) :
Les utilisateurs ont passé en moyenne 5,5 minutes pour relever un défi, contre 3 minutes en moyenne pour les autres pilotes SCW mondiaux.
- Précision par rapport à la confiance : les pilotes du DACH ont enregistré un pourcentage moyen compris entre 88 et 92 % de confiance dans leurs réponses aux défis, mais la précision de ces réponses se situait entre 53 et 66 %
- Plus de 75 % des participants interrogés préfèrent les méthodes de formation gamifiées (ou dynamiques), par opposition aux approches statiques telles que la formation assistée par ordinateur (TCC).
- Parmi les vulnérabilités les plus fréquemment constatées, nous avons vu Défauts d'injection, Mauvaise configuration de la sécurité, Scripting intersite (XSS), Utilisation inappropriée de la plateforme, Contrôle d'accès, Authentification, Corruption de la mémoire, Falsification de demandes intersites, Protection insuffisante de la couche de transport et Redirections et transferts non validés
Ce n'est un secret pour personne qu'en général, de nombreux habitants de la région DACH apprécient une solide éthique de travail et l'accent mis sur la précision, et les développeurs qui ont essayé le programme pilote ne font pas exception. Ces données témoignent de leur méconnaissance de ce type d'entraînement, mais aussi de leur désir de continuer à jouer, d'améliorer leur score et d'éviter d'utiliser la fonction « indice » disponible. Leur désir d'apprendre et de s'améliorer est évident, mais cela montre également qu'il reste encore beaucoup à faire pour mettre en œuvre une formation et une sensibilisation efficaces au sein de l'organisation elle-même.
Une formation de qualité visant à réduire les risques et à neutraliser les vulnérabilités n'est pas un exercice ponctuel, mais bien plus qu'une question de conformité. Les responsables et le personnel d'AppSec doivent déployer un effort pour déployer un programme de sensibilisation à la sécurité assorti d'une stratégie et d'un soutien qui reflètent les objectifs de sécurité fondamentaux et visent à les maintenir à long terme. Il s'agit en fait de l'épine dorsale d'un processus DevSecOps réussi avec des développeurs soucieux de la sécurité.
Que révèle un programme pilote à une organisation ?
Les programmes pilotes de Secure Code Warrior constituent un outil extrêmement précieux pour donner aux entreprises un aperçu de leur état de sécurité actuel (généralement entre 65 et 75 %), ainsi que des domaines à améliorer immédiatement. Ils révèlent :
- Clarification des vulnérabilités qui doivent être traitées en priorité, ainsi que de la question de savoir si cette orientation doit être appliquée à une équipe, une unité commerciale ou un langage de programmation en particulier
- Un éventail de renseignements précis et plus large sur les facteurs de risque de cybersécurité au sein de leur SDLC, incluant le facteur humain du développement logiciel.
- En tirant parti de la plateforme SCW, les organisations pourraient prédire les résultats potentiels des tests internes et avoir la possibilité d'atténuer ces risques dès le départ, en préparant les équipes avant même qu'elles ne soient affectées à un projet spécifique.
Dans les organisations qui ont commencé à déployer des programmes de sécurité complets et efficaces, la direction approuve généralement 1 à 1,5 heure par semaine de développement professionnel pour aider leurs développeurs à améliorer leurs connaissances en matière de codage sécurisé. Cependant, nous constatons que les entreprises s'éloignent du « temps passé à se concentrer sur la plateforme » au profit de « quelles équipes de développement logiciel présentent les risques les plus élevés et les plus faibles pour l'entreprise ». Cela est étroitement lié à la certification et à l'obtention de ceintures formalisées, à la découverte de champions de la sécurité et à des programmes de mentorat pour de meilleurs résultats. L'allocation de temps, associée à une évaluation constructive et positive, est absolument essentielle pour créer des développeurs soucieux de la sécurité qui non seulement apprécient la sécurité, mais réduisent de manière mesurable les risques pour l'entreprise.
Comment les organisations utilisent-elles déjà Secure Code Warrior ?
Plusieurs entreprises utilisent déjà Secure Code Warrior pour sensibiliser, renforcer les compétences des développeurs et développer une culture de sécurité positive.
Par exemple, dans un cas d'utilisation, une équipe formée sur la plateforme a utilisé SCW pour révéler ses forces et ses faiblesses en matière de sécurité :
Action du développeur : Les développeurs ont pu constater leurs propres résultats, indiquant les domaines sur lesquels ils devraient se concentrer et les moyens de s'autogérer, et rythmer la formation pour atténuer les vulnérabilités spécifiques ou les lacunes en matière de connaissances qui les aideront dans les futures versions de logiciels.
Action de gestion : Ils ont analysé les forces et les faiblesses générales au niveau de l'équipe et ont été en mesure de prescrire une approche ludique qui aborde les sujets de préoccupation spécifiques. Cela a créé un parcours éducatif bidirectionnel qui permet d'acquérir rapidement des connaissances pertinentes.
Résultat : Une fois les pentests effectués au niveau de l'équipe, toutes les vulnérabilités sont visibles, et la comparaison des résultats précédents a permis de valider facilement si la formation avait permis de réduire les bogues de sécurité courants.
Cela nous ramène aux étapes initiales du développement logiciel, au cours desquelles les objectifs d'amélioration continue de l'équipe avant la formation et l'introduction des meilleures pratiques de sécurité dès le début peuvent être efficaces, faciles à déployer et faire gagner du temps sur l'ensemble du périmètre de développement.
Équipes de projet DevSecOps
Dans un environnement DevSecOps idéal, plusieurs unités commerciales sont représentées au sein d'une équipe de projet pour décider et obtenir les principaux résultats, dont les meilleures pratiques en matière de sécurité.
En termes de recherche et de planification préalables au projet, la plateforme SCW peut évaluer les compétences en matière de sécurité de l'équipe de développement proposée avant que celle-ci ne commence à travailler, en prédisant les résultats des tests d'intrusion éventuels et les retards liés à la sécurité dans le SDLC, avec suffisamment de temps pour s'y préparer de manière adéquate. Une formation spécifique au code et à la structure du projet peut être créée pour que l'équipe puisse y travailler, y compris un processus d'évaluation/certification qui vérifie les compétences générales en matière de sensibilisation à la sécurité, nécessitant une note de passage prédéfinie avant qu'elles ne soient intégrées aux livrables du projet.
Cette approche présente une immense valeur commerciale pour réduire les coûts liés à la correction des vulnérabilités, atténuer les risques de sécurité, gagner du temps lors des pentests, réduire le coût des programmes de primes coûteux et améliorer les compétences de la cohorte de développement de manière centralisée, durable, évolutive et unifiée.
Conclusion :
Les entreprises sont de plus en plus pressées de donner la priorité à la sécurité, de protéger leurs données et de se conformer à des réglementations de plus en plus strictes à l'échelle mondiale, mais en particulier pour les organisations opérant dans l'UE conformément aux directives strictes du RGPD.
Pour les entreprises de la région DACH, il est clair qu'elles mettent en place des voies de sécurité viables en reliant les efforts et les résultats de formation aux activités du monde réel liées à la prévention des risques, y compris la réduction des vulnérabilités courantes dans le code qu'elles produisent.
Pour élaborer une analyse de rentabilisation réellement quantifiable en faveur d'une augmentation des budgets de sécurité, de la sensibilisation et de la conformité globale, la formation doit être engageante pour les développeurs, cohérente, adaptable et mesurable. Suivre les étapes actuelles de la capacité à adapter la formation appropriée, identifier les champions de la sécurité et mesurer les performances des équipes au fil du temps sont autant d'initiatives vitales, et de nombreuses entreprises avant-gardistes de la région DACH en tirent parti grâce à un projet pilote SCW complet.
De nombreuses entreprises rencontrent des difficultés avec des indicateurs de performance de sécurité trop génériques. Grâce à une utilisation cohérente et à long terme de la plateforme SCW, les entreprises pourraient utiliser des évaluations précises, des cours et des mesures de gestion pour découvrir :
- Réduction des vulnérabilités au fil du temps
- Réduction des coûts liés à la correction des vulnérabilités au fil du temps
- Développement des compétences individuelles et en équipe au fil du temps
- Réduction des coûts et du temps lors de la phase de pentesting
Quels sont les indicateurs que votre organisation suit actuellement, à quelle fréquence sont-ils remesurés et ont-ils connu une nette amélioration au fil du temps ? Dans quelle mesure vos initiatives de formation sont-elles intégrées au flux de travail existant pour les développeurs ?
L'approche dynamique, ludique et complète de SCW est considérée comme un élément crucial du flux de travail du cycle de vie du développement logiciel sécurisé. Les entreprises fournissent à leurs développeurs les outils et les formations appropriés, et intègrent le SCW dans leur flux de travail SSDLC.
Avec l'avènement du RGPD, ainsi que la révision de la stratégie suite à une attaque en plusieurs étapes qui a révélé les données sensibles de nombreuses personnalités publiques, ainsi que des serveurs du gouvernement fédéral allemand, il est clair que la sensibilisation et les actions en matière de cybersécurité sont au cœur des préoccupations des dirigeants de la région DACH.
最高経営責任者(CEO)、会長、および共同設立者
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
Les meilleures pratiques en matière de cybersécurité sont un sujet d'actualité depuis plus de dix ans et font l'objet de nombreuses discussions au niveau gouvernemental dans la plupart des régions du monde. Les cyberattaques sont essentiellement une réalité quotidienne, et toute entité stockant de précieuses données privées en ligne est une cible potentielle. Rien qu'en Allemagne, le ministère fédéral de l'Éducation et de la Recherche estime que 96 % des petites et moyennes entreprises ont déjà été confrontées à un incident de sécurité informatique. Le même rapport souligne le besoin urgent de recherches, de législation et de sensibilisation en matière de cybersécurité, avec un appel définitif à l'inclusion d'une formation à la sécurité plus poussée dans les domaines de l'informatique et des domaines liés à l'informatique.
Avec l'avènement de GDPR, ainsi qu'une stratégie révisée à la suite d'une attaque en plusieurs étapes qui a révélé les données sensibles de nombreuses personnalités publiques, ainsi que des serveurs du gouvernement fédéral allemand, il est clair que la sensibilisation et les actions en matière de cybersécurité sont au cœur des préoccupations des dirigeants de la région DACH. Le piratage de fin 2018 a été exécuté par un étudiant de 20 ans relativement peu qualifié, son principal point d'accès à des informations hautement sensibles étant simplement possible en devinant des mots de passe. Bien qu'il s'agisse d'un exploit d'authentification extrêmement préoccupant, il a mis en évidence la nécessité d'une bien meilleure sensibilisation à la sécurité au niveau du gouvernement, des entreprises et de la société. Un rapport de 2019 a souligné que L'Allemagne était à la traîne en termes d'initiatives de défense contre la cybersécurité, en s'appuyant sur la législation comme principale tactique. Cependant, avec l'arrivée de DevSecOps en tant que méthodologie de développement idéale, de nombreuses entreprises ont reconnu la nécessité d'une formation pratique, de la création de logiciels sécurisés dès la conception et de programmes de sensibilisation à la sécurité à l'échelle de l'entreprise.
Le cœur de la sécurité logicielle en DACH
Des organisations comme GUÊPE et ONGLET publier des classements vérifiés des vulnérabilités les plus fréquentes. Dans tous les langages, l'injection SQL occupe la première place et, bien qu'elle date de plusieurs décennies, il s'agit d'une faille courante et souvent exploitée avec des conséquences désastreuses.
Logiciel bancaire Swiss BPC, SmartVista, a été alerté d'une vulnérabilité dans SQLi par SwissCert, il est toutefois resté intact pendant des mois malgré le risque de révéler des données sensibles sur les clients, y compris les numéros de cartes de crédit. L'injection SQL peut entraîner et entraîne des violations dangereuses, tout comme le Violation de plusieurs ministères et universités en 2017 aux États-Unis et au Royaume-Uni. La plupart de ces incidents sont dus à des processus de validation des entrées laxistes, qui permettent à un attaquant d'insérer du code malveillant depuis le front-end d'une application. Une autre source de vulnérabilité courante est l'utilisation de code fournisseur non sécurisé qui n'est pas contrôlé pour détecter les bogues de sécurité, et des failles sont ainsi introduites dans un environnement de production préalablement scanné et effacé. Aucun de ces points d'accès n'est spécifique à la région DACH. Il s'agit plutôt d'exemples mondiaux de mauvaises pratiques de sécurité qui ne peuvent pas perdurer alors que le monde produit davantage de code.
Il est impératif de corriger les problèmes dès qu'ils sont découverts, et la décision de SmartVista de traîner les pieds aurait pu être désastreuse. Bien que la DACH ait connu son lot de violations, des directives plus ciblées et un soutien en matière de sensibilisation à la sécurité et de formation pourraient éviter que des problèmes potentiels au niveau organisationnel ne deviennent incontrôlables, ce qui nécessitera une législation beaucoup plus spécifique en matière de formation évaluée pour les développeurs.
Toutes les formations au code sécurisé ne sont pas créées de la même manière.
De nombreuses directives de cybersécurité dans le monde sont de plus en plus complètes, mais elles restent peu spécifiques lorsqu'il s'agit de définir une formation à la sécurité efficace. Le Directive NIS dans l'UE inclut l'exigence de « sensibilisation, de formation et d'éducation » au niveau national, mais l'adoption précipitée d'une solution de formation peut ne pas avoir le résultat escompté en termes de réduction tangible des risques si des éléments clés ne sont pas inclus dans le cadre du renforcement des compétences des développeurs et du changement organisationnel.
Les solutions pédagogiques varient, et la formation doit être spécifique au travail quotidien du développeur (y compris la capacité d'apprendre dans la langue et le cadre de son choix) tout en restant engageante et mesurable dans le temps.
Les solutions de formation statiques, telles que la formation vidéo assistée par ordinateur, sont souvent trop génériques et rarement revisitées ou évaluées en fonction de leur efficacité en matière de sensibilisation et de compétence pour empêcher les vulnérabilités de saisir le code au fur et à mesure de son écriture. Entraînement dynamique, est toutefois essentiel pour améliorer les compétences des développeurs à l'aide d'exemples contextuels, en plus de fournir des mesures qui influencent les processus d'atténuation des activités. Il est fréquemment mis à jour, favorise un niveau élevé de rétention des connaissances et contribue à la formation de développeurs soucieux de la sécurité qui contribuent à une culture de sécurité positive sur leur lieu de travail.
Points de données Secure Code Warrior provenant des pilotes DACH :
Ema Rimeike, directrice des ventes (maîtrise en cybersécurité) de Secure Code Warrior, a travaillé en étroite collaboration avec des organisations de la région DACH, en organisant des programmes pilotes pour les développeurs afin d'évaluer les compétences internes des développeurs en matière de codage sécurisé, leur engagement envers les meilleures pratiques de sécurité, ainsi que la culture de sécurité globale de l'entreprise. Grâce à une formation au code sécurisé dynamique et gamifiée, ses principales conclusions laissent entrevoir un avenir prometteur lorsque les développeurs disposeront des connaissances et des outils nécessaires à une réduction des vulnérabilités réussie dès le début du SDLC.
Au cours de ses programmes pilotes, elle a rassemblé des statistiques basées sur 90 minutes en moyenne passées par utilisateur sur la plateforme Secure Code Warrior (SCW), dans lequel ils ont joué 15 défis de codage sécurisé (des leçons de petite taille, ludiques et à votre rythme) :
Les utilisateurs ont passé en moyenne 5,5 minutes pour relever un défi, contre 3 minutes en moyenne pour les autres pilotes SCW mondiaux.
- Précision par rapport à la confiance : les pilotes du DACH ont enregistré un pourcentage moyen compris entre 88 et 92 % de confiance dans leurs réponses aux défis, mais la précision de ces réponses se situait entre 53 et 66 %
- Plus de 75 % des participants interrogés préfèrent les méthodes de formation gamifiées (ou dynamiques), par opposition aux approches statiques telles que la formation assistée par ordinateur (TCC).
- Parmi les vulnérabilités les plus fréquemment constatées, nous avons vu Défauts d'injection, Mauvaise configuration de la sécurité, Scripting intersite (XSS), Utilisation inappropriée de la plateforme, Contrôle d'accès, Authentification, Corruption de la mémoire, Falsification de demandes intersites, Protection insuffisante de la couche de transport et Redirections et transferts non validés
Ce n'est un secret pour personne qu'en général, de nombreux habitants de la région DACH apprécient une solide éthique de travail et l'accent mis sur la précision, et les développeurs qui ont essayé le programme pilote ne font pas exception. Ces données témoignent de leur méconnaissance de ce type d'entraînement, mais aussi de leur désir de continuer à jouer, d'améliorer leur score et d'éviter d'utiliser la fonction « indice » disponible. Leur désir d'apprendre et de s'améliorer est évident, mais cela montre également qu'il reste encore beaucoup à faire pour mettre en œuvre une formation et une sensibilisation efficaces au sein de l'organisation elle-même.
Une formation de qualité visant à réduire les risques et à neutraliser les vulnérabilités n'est pas un exercice ponctuel, mais bien plus qu'une question de conformité. Les responsables et le personnel d'AppSec doivent déployer un effort pour déployer un programme de sensibilisation à la sécurité assorti d'une stratégie et d'un soutien qui reflètent les objectifs de sécurité fondamentaux et visent à les maintenir à long terme. Il s'agit en fait de l'épine dorsale d'un processus DevSecOps réussi avec des développeurs soucieux de la sécurité.
Que révèle un programme pilote à une organisation ?
Les programmes pilotes de Secure Code Warrior constituent un outil extrêmement précieux pour donner aux entreprises un aperçu de leur état de sécurité actuel (généralement entre 65 et 75 %), ainsi que des domaines à améliorer immédiatement. Ils révèlent :
- Clarification des vulnérabilités qui doivent être traitées en priorité, ainsi que de la question de savoir si cette orientation doit être appliquée à une équipe, une unité commerciale ou un langage de programmation en particulier
- Un éventail de renseignements précis et plus large sur les facteurs de risque de cybersécurité au sein de leur SDLC, incluant le facteur humain du développement logiciel.
- En tirant parti de la plateforme SCW, les organisations pourraient prédire les résultats potentiels des tests internes et avoir la possibilité d'atténuer ces risques dès le départ, en préparant les équipes avant même qu'elles ne soient affectées à un projet spécifique.
Dans les organisations qui ont commencé à déployer des programmes de sécurité complets et efficaces, la direction approuve généralement 1 à 1,5 heure par semaine de développement professionnel pour aider leurs développeurs à améliorer leurs connaissances en matière de codage sécurisé. Cependant, nous constatons que les entreprises s'éloignent du « temps passé à se concentrer sur la plateforme » au profit de « quelles équipes de développement logiciel présentent les risques les plus élevés et les plus faibles pour l'entreprise ». Cela est étroitement lié à la certification et à l'obtention de ceintures formalisées, à la découverte de champions de la sécurité et à des programmes de mentorat pour de meilleurs résultats. L'allocation de temps, associée à une évaluation constructive et positive, est absolument essentielle pour créer des développeurs soucieux de la sécurité qui non seulement apprécient la sécurité, mais réduisent de manière mesurable les risques pour l'entreprise.
Comment les organisations utilisent-elles déjà Secure Code Warrior ?
Plusieurs entreprises utilisent déjà Secure Code Warrior pour sensibiliser, renforcer les compétences des développeurs et développer une culture de sécurité positive.
Par exemple, dans un cas d'utilisation, une équipe formée sur la plateforme a utilisé SCW pour révéler ses forces et ses faiblesses en matière de sécurité :
Action du développeur : Les développeurs ont pu constater leurs propres résultats, indiquant les domaines sur lesquels ils devraient se concentrer et les moyens de s'autogérer, et rythmer la formation pour atténuer les vulnérabilités spécifiques ou les lacunes en matière de connaissances qui les aideront dans les futures versions de logiciels.
Action de gestion : Ils ont analysé les forces et les faiblesses générales au niveau de l'équipe et ont été en mesure de prescrire une approche ludique qui aborde les sujets de préoccupation spécifiques. Cela a créé un parcours éducatif bidirectionnel qui permet d'acquérir rapidement des connaissances pertinentes.
Résultat : Une fois les pentests effectués au niveau de l'équipe, toutes les vulnérabilités sont visibles, et la comparaison des résultats précédents a permis de valider facilement si la formation avait permis de réduire les bogues de sécurité courants.
Cela nous ramène aux étapes initiales du développement logiciel, au cours desquelles les objectifs d'amélioration continue de l'équipe avant la formation et l'introduction des meilleures pratiques de sécurité dès le début peuvent être efficaces, faciles à déployer et faire gagner du temps sur l'ensemble du périmètre de développement.
Équipes de projet DevSecOps
Dans un environnement DevSecOps idéal, plusieurs unités commerciales sont représentées au sein d'une équipe de projet pour décider et obtenir les principaux résultats, dont les meilleures pratiques en matière de sécurité.
En termes de recherche et de planification préalables au projet, la plateforme SCW peut évaluer les compétences en matière de sécurité de l'équipe de développement proposée avant que celle-ci ne commence à travailler, en prédisant les résultats des tests d'intrusion éventuels et les retards liés à la sécurité dans le SDLC, avec suffisamment de temps pour s'y préparer de manière adéquate. Une formation spécifique au code et à la structure du projet peut être créée pour que l'équipe puisse y travailler, y compris un processus d'évaluation/certification qui vérifie les compétences générales en matière de sensibilisation à la sécurité, nécessitant une note de passage prédéfinie avant qu'elles ne soient intégrées aux livrables du projet.
Cette approche présente une immense valeur commerciale pour réduire les coûts liés à la correction des vulnérabilités, atténuer les risques de sécurité, gagner du temps lors des pentests, réduire le coût des programmes de primes coûteux et améliorer les compétences de la cohorte de développement de manière centralisée, durable, évolutive et unifiée.
Conclusion :
Les entreprises sont de plus en plus pressées de donner la priorité à la sécurité, de protéger leurs données et de se conformer à des réglementations de plus en plus strictes à l'échelle mondiale, mais en particulier pour les organisations opérant dans l'UE conformément aux directives strictes du RGPD.
Pour les entreprises de la région DACH, il est clair qu'elles mettent en place des voies de sécurité viables en reliant les efforts et les résultats de formation aux activités du monde réel liées à la prévention des risques, y compris la réduction des vulnérabilités courantes dans le code qu'elles produisent.
Pour élaborer une analyse de rentabilisation réellement quantifiable en faveur d'une augmentation des budgets de sécurité, de la sensibilisation et de la conformité globale, la formation doit être engageante pour les développeurs, cohérente, adaptable et mesurable. Suivre les étapes actuelles de la capacité à adapter la formation appropriée, identifier les champions de la sécurité et mesurer les performances des équipes au fil du temps sont autant d'initiatives vitales, et de nombreuses entreprises avant-gardistes de la région DACH en tirent parti grâce à un projet pilote SCW complet.
De nombreuses entreprises rencontrent des difficultés avec des indicateurs de performance de sécurité trop génériques. Grâce à une utilisation cohérente et à long terme de la plateforme SCW, les entreprises pourraient utiliser des évaluations précises, des cours et des mesures de gestion pour découvrir :
- Réduction des vulnérabilités au fil du temps
- Réduction des coûts liés à la correction des vulnérabilités au fil du temps
- Développement des compétences individuelles et en équipe au fil du temps
- Réduction des coûts et du temps lors de la phase de pentesting
Quels sont les indicateurs que votre organisation suit actuellement, à quelle fréquence sont-ils remesurés et ont-ils connu une nette amélioration au fil du temps ? Dans quelle mesure vos initiatives de formation sont-elles intégrées au flux de travail existant pour les développeurs ?
L'approche dynamique, ludique et complète de SCW est considérée comme un élément crucial du flux de travail du cycle de vie du développement logiciel sécurisé. Les entreprises fournissent à leurs développeurs les outils et les formations appropriés, et intègrent le SCW dans leur flux de travail SSDLC.
Les meilleures pratiques en matière de cybersécurité sont un sujet d'actualité depuis plus de dix ans et font l'objet de nombreuses discussions au niveau gouvernemental dans la plupart des régions du monde. Les cyberattaques sont essentiellement une réalité quotidienne, et toute entité stockant de précieuses données privées en ligne est une cible potentielle. Rien qu'en Allemagne, le ministère fédéral de l'Éducation et de la Recherche estime que 96 % des petites et moyennes entreprises ont déjà été confrontées à un incident de sécurité informatique. Le même rapport souligne le besoin urgent de recherches, de législation et de sensibilisation en matière de cybersécurité, avec un appel définitif à l'inclusion d'une formation à la sécurité plus poussée dans les domaines de l'informatique et des domaines liés à l'informatique.
Avec l'avènement de GDPR, ainsi qu'une stratégie révisée à la suite d'une attaque en plusieurs étapes qui a révélé les données sensibles de nombreuses personnalités publiques, ainsi que des serveurs du gouvernement fédéral allemand, il est clair que la sensibilisation et les actions en matière de cybersécurité sont au cœur des préoccupations des dirigeants de la région DACH. Le piratage de fin 2018 a été exécuté par un étudiant de 20 ans relativement peu qualifié, son principal point d'accès à des informations hautement sensibles étant simplement possible en devinant des mots de passe. Bien qu'il s'agisse d'un exploit d'authentification extrêmement préoccupant, il a mis en évidence la nécessité d'une bien meilleure sensibilisation à la sécurité au niveau du gouvernement, des entreprises et de la société. Un rapport de 2019 a souligné que L'Allemagne était à la traîne en termes d'initiatives de défense contre la cybersécurité, en s'appuyant sur la législation comme principale tactique. Cependant, avec l'arrivée de DevSecOps en tant que méthodologie de développement idéale, de nombreuses entreprises ont reconnu la nécessité d'une formation pratique, de la création de logiciels sécurisés dès la conception et de programmes de sensibilisation à la sécurité à l'échelle de l'entreprise.
Le cœur de la sécurité logicielle en DACH
Des organisations comme GUÊPE et ONGLET publier des classements vérifiés des vulnérabilités les plus fréquentes. Dans tous les langages, l'injection SQL occupe la première place et, bien qu'elle date de plusieurs décennies, il s'agit d'une faille courante et souvent exploitée avec des conséquences désastreuses.
Logiciel bancaire Swiss BPC, SmartVista, a été alerté d'une vulnérabilité dans SQLi par SwissCert, il est toutefois resté intact pendant des mois malgré le risque de révéler des données sensibles sur les clients, y compris les numéros de cartes de crédit. L'injection SQL peut entraîner et entraîne des violations dangereuses, tout comme le Violation de plusieurs ministères et universités en 2017 aux États-Unis et au Royaume-Uni. La plupart de ces incidents sont dus à des processus de validation des entrées laxistes, qui permettent à un attaquant d'insérer du code malveillant depuis le front-end d'une application. Une autre source de vulnérabilité courante est l'utilisation de code fournisseur non sécurisé qui n'est pas contrôlé pour détecter les bogues de sécurité, et des failles sont ainsi introduites dans un environnement de production préalablement scanné et effacé. Aucun de ces points d'accès n'est spécifique à la région DACH. Il s'agit plutôt d'exemples mondiaux de mauvaises pratiques de sécurité qui ne peuvent pas perdurer alors que le monde produit davantage de code.
Il est impératif de corriger les problèmes dès qu'ils sont découverts, et la décision de SmartVista de traîner les pieds aurait pu être désastreuse. Bien que la DACH ait connu son lot de violations, des directives plus ciblées et un soutien en matière de sensibilisation à la sécurité et de formation pourraient éviter que des problèmes potentiels au niveau organisationnel ne deviennent incontrôlables, ce qui nécessitera une législation beaucoup plus spécifique en matière de formation évaluée pour les développeurs.
Toutes les formations au code sécurisé ne sont pas créées de la même manière.
De nombreuses directives de cybersécurité dans le monde sont de plus en plus complètes, mais elles restent peu spécifiques lorsqu'il s'agit de définir une formation à la sécurité efficace. Le Directive NIS dans l'UE inclut l'exigence de « sensibilisation, de formation et d'éducation » au niveau national, mais l'adoption précipitée d'une solution de formation peut ne pas avoir le résultat escompté en termes de réduction tangible des risques si des éléments clés ne sont pas inclus dans le cadre du renforcement des compétences des développeurs et du changement organisationnel.
Les solutions pédagogiques varient, et la formation doit être spécifique au travail quotidien du développeur (y compris la capacité d'apprendre dans la langue et le cadre de son choix) tout en restant engageante et mesurable dans le temps.
Les solutions de formation statiques, telles que la formation vidéo assistée par ordinateur, sont souvent trop génériques et rarement revisitées ou évaluées en fonction de leur efficacité en matière de sensibilisation et de compétence pour empêcher les vulnérabilités de saisir le code au fur et à mesure de son écriture. Entraînement dynamique, est toutefois essentiel pour améliorer les compétences des développeurs à l'aide d'exemples contextuels, en plus de fournir des mesures qui influencent les processus d'atténuation des activités. Il est fréquemment mis à jour, favorise un niveau élevé de rétention des connaissances et contribue à la formation de développeurs soucieux de la sécurité qui contribuent à une culture de sécurité positive sur leur lieu de travail.
Points de données Secure Code Warrior provenant des pilotes DACH :
Ema Rimeike, directrice des ventes (maîtrise en cybersécurité) de Secure Code Warrior, a travaillé en étroite collaboration avec des organisations de la région DACH, en organisant des programmes pilotes pour les développeurs afin d'évaluer les compétences internes des développeurs en matière de codage sécurisé, leur engagement envers les meilleures pratiques de sécurité, ainsi que la culture de sécurité globale de l'entreprise. Grâce à une formation au code sécurisé dynamique et gamifiée, ses principales conclusions laissent entrevoir un avenir prometteur lorsque les développeurs disposeront des connaissances et des outils nécessaires à une réduction des vulnérabilités réussie dès le début du SDLC.
Au cours de ses programmes pilotes, elle a rassemblé des statistiques basées sur 90 minutes en moyenne passées par utilisateur sur la plateforme Secure Code Warrior (SCW), dans lequel ils ont joué 15 défis de codage sécurisé (des leçons de petite taille, ludiques et à votre rythme) :
Les utilisateurs ont passé en moyenne 5,5 minutes pour relever un défi, contre 3 minutes en moyenne pour les autres pilotes SCW mondiaux.
- Précision par rapport à la confiance : les pilotes du DACH ont enregistré un pourcentage moyen compris entre 88 et 92 % de confiance dans leurs réponses aux défis, mais la précision de ces réponses se situait entre 53 et 66 %
- Plus de 75 % des participants interrogés préfèrent les méthodes de formation gamifiées (ou dynamiques), par opposition aux approches statiques telles que la formation assistée par ordinateur (TCC).
- Parmi les vulnérabilités les plus fréquemment constatées, nous avons vu Défauts d'injection, Mauvaise configuration de la sécurité, Scripting intersite (XSS), Utilisation inappropriée de la plateforme, Contrôle d'accès, Authentification, Corruption de la mémoire, Falsification de demandes intersites, Protection insuffisante de la couche de transport et Redirections et transferts non validés
Ce n'est un secret pour personne qu'en général, de nombreux habitants de la région DACH apprécient une solide éthique de travail et l'accent mis sur la précision, et les développeurs qui ont essayé le programme pilote ne font pas exception. Ces données témoignent de leur méconnaissance de ce type d'entraînement, mais aussi de leur désir de continuer à jouer, d'améliorer leur score et d'éviter d'utiliser la fonction « indice » disponible. Leur désir d'apprendre et de s'améliorer est évident, mais cela montre également qu'il reste encore beaucoup à faire pour mettre en œuvre une formation et une sensibilisation efficaces au sein de l'organisation elle-même.
Une formation de qualité visant à réduire les risques et à neutraliser les vulnérabilités n'est pas un exercice ponctuel, mais bien plus qu'une question de conformité. Les responsables et le personnel d'AppSec doivent déployer un effort pour déployer un programme de sensibilisation à la sécurité assorti d'une stratégie et d'un soutien qui reflètent les objectifs de sécurité fondamentaux et visent à les maintenir à long terme. Il s'agit en fait de l'épine dorsale d'un processus DevSecOps réussi avec des développeurs soucieux de la sécurité.
Que révèle un programme pilote à une organisation ?
Les programmes pilotes de Secure Code Warrior constituent un outil extrêmement précieux pour donner aux entreprises un aperçu de leur état de sécurité actuel (généralement entre 65 et 75 %), ainsi que des domaines à améliorer immédiatement. Ils révèlent :
- Clarification des vulnérabilités qui doivent être traitées en priorité, ainsi que de la question de savoir si cette orientation doit être appliquée à une équipe, une unité commerciale ou un langage de programmation en particulier
- Un éventail de renseignements précis et plus large sur les facteurs de risque de cybersécurité au sein de leur SDLC, incluant le facteur humain du développement logiciel.
- En tirant parti de la plateforme SCW, les organisations pourraient prédire les résultats potentiels des tests internes et avoir la possibilité d'atténuer ces risques dès le départ, en préparant les équipes avant même qu'elles ne soient affectées à un projet spécifique.
Dans les organisations qui ont commencé à déployer des programmes de sécurité complets et efficaces, la direction approuve généralement 1 à 1,5 heure par semaine de développement professionnel pour aider leurs développeurs à améliorer leurs connaissances en matière de codage sécurisé. Cependant, nous constatons que les entreprises s'éloignent du « temps passé à se concentrer sur la plateforme » au profit de « quelles équipes de développement logiciel présentent les risques les plus élevés et les plus faibles pour l'entreprise ». Cela est étroitement lié à la certification et à l'obtention de ceintures formalisées, à la découverte de champions de la sécurité et à des programmes de mentorat pour de meilleurs résultats. L'allocation de temps, associée à une évaluation constructive et positive, est absolument essentielle pour créer des développeurs soucieux de la sécurité qui non seulement apprécient la sécurité, mais réduisent de manière mesurable les risques pour l'entreprise.
Comment les organisations utilisent-elles déjà Secure Code Warrior ?
Plusieurs entreprises utilisent déjà Secure Code Warrior pour sensibiliser, renforcer les compétences des développeurs et développer une culture de sécurité positive.
Par exemple, dans un cas d'utilisation, une équipe formée sur la plateforme a utilisé SCW pour révéler ses forces et ses faiblesses en matière de sécurité :
Action du développeur : Les développeurs ont pu constater leurs propres résultats, indiquant les domaines sur lesquels ils devraient se concentrer et les moyens de s'autogérer, et rythmer la formation pour atténuer les vulnérabilités spécifiques ou les lacunes en matière de connaissances qui les aideront dans les futures versions de logiciels.
Action de gestion : Ils ont analysé les forces et les faiblesses générales au niveau de l'équipe et ont été en mesure de prescrire une approche ludique qui aborde les sujets de préoccupation spécifiques. Cela a créé un parcours éducatif bidirectionnel qui permet d'acquérir rapidement des connaissances pertinentes.
Résultat : Une fois les pentests effectués au niveau de l'équipe, toutes les vulnérabilités sont visibles, et la comparaison des résultats précédents a permis de valider facilement si la formation avait permis de réduire les bogues de sécurité courants.
Cela nous ramène aux étapes initiales du développement logiciel, au cours desquelles les objectifs d'amélioration continue de l'équipe avant la formation et l'introduction des meilleures pratiques de sécurité dès le début peuvent être efficaces, faciles à déployer et faire gagner du temps sur l'ensemble du périmètre de développement.
Équipes de projet DevSecOps
Dans un environnement DevSecOps idéal, plusieurs unités commerciales sont représentées au sein d'une équipe de projet pour décider et obtenir les principaux résultats, dont les meilleures pratiques en matière de sécurité.
En termes de recherche et de planification préalables au projet, la plateforme SCW peut évaluer les compétences en matière de sécurité de l'équipe de développement proposée avant que celle-ci ne commence à travailler, en prédisant les résultats des tests d'intrusion éventuels et les retards liés à la sécurité dans le SDLC, avec suffisamment de temps pour s'y préparer de manière adéquate. Une formation spécifique au code et à la structure du projet peut être créée pour que l'équipe puisse y travailler, y compris un processus d'évaluation/certification qui vérifie les compétences générales en matière de sensibilisation à la sécurité, nécessitant une note de passage prédéfinie avant qu'elles ne soient intégrées aux livrables du projet.
Cette approche présente une immense valeur commerciale pour réduire les coûts liés à la correction des vulnérabilités, atténuer les risques de sécurité, gagner du temps lors des pentests, réduire le coût des programmes de primes coûteux et améliorer les compétences de la cohorte de développement de manière centralisée, durable, évolutive et unifiée.
Conclusion :
Les entreprises sont de plus en plus pressées de donner la priorité à la sécurité, de protéger leurs données et de se conformer à des réglementations de plus en plus strictes à l'échelle mondiale, mais en particulier pour les organisations opérant dans l'UE conformément aux directives strictes du RGPD.
Pour les entreprises de la région DACH, il est clair qu'elles mettent en place des voies de sécurité viables en reliant les efforts et les résultats de formation aux activités du monde réel liées à la prévention des risques, y compris la réduction des vulnérabilités courantes dans le code qu'elles produisent.
Pour élaborer une analyse de rentabilisation réellement quantifiable en faveur d'une augmentation des budgets de sécurité, de la sensibilisation et de la conformité globale, la formation doit être engageante pour les développeurs, cohérente, adaptable et mesurable. Suivre les étapes actuelles de la capacité à adapter la formation appropriée, identifier les champions de la sécurité et mesurer les performances des équipes au fil du temps sont autant d'initiatives vitales, et de nombreuses entreprises avant-gardistes de la région DACH en tirent parti grâce à un projet pilote SCW complet.
De nombreuses entreprises rencontrent des difficultés avec des indicateurs de performance de sécurité trop génériques. Grâce à une utilisation cohérente et à long terme de la plateforme SCW, les entreprises pourraient utiliser des évaluations précises, des cours et des mesures de gestion pour découvrir :
- Réduction des vulnérabilités au fil du temps
- Réduction des coûts liés à la correction des vulnérabilités au fil du temps
- Développement des compétences individuelles et en équipe au fil du temps
- Réduction des coûts et du temps lors de la phase de pentesting
Quels sont les indicateurs que votre organisation suit actuellement, à quelle fréquence sont-ils remesurés et ont-ils connu une nette amélioration au fil du temps ? Dans quelle mesure vos initiatives de formation sont-elles intégrées au flux de travail existant pour les développeurs ?
L'approche dynamique, ludique et complète de SCW est considérée comme un élément crucial du flux de travail du cycle de vie du développement logiciel sécurisé. Les entreprises fournissent à leurs développeurs les outils et les formations appropriés, et intègrent le SCW dans leur flux de travail SSDLC.
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
レポートを表示するデモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
Les meilleures pratiques en matière de cybersécurité sont un sujet d'actualité depuis plus de dix ans et font l'objet de nombreuses discussions au niveau gouvernemental dans la plupart des régions du monde. Les cyberattaques sont essentiellement une réalité quotidienne, et toute entité stockant de précieuses données privées en ligne est une cible potentielle. Rien qu'en Allemagne, le ministère fédéral de l'Éducation et de la Recherche estime que 96 % des petites et moyennes entreprises ont déjà été confrontées à un incident de sécurité informatique. Le même rapport souligne le besoin urgent de recherches, de législation et de sensibilisation en matière de cybersécurité, avec un appel définitif à l'inclusion d'une formation à la sécurité plus poussée dans les domaines de l'informatique et des domaines liés à l'informatique.
Avec l'avènement de GDPR, ainsi qu'une stratégie révisée à la suite d'une attaque en plusieurs étapes qui a révélé les données sensibles de nombreuses personnalités publiques, ainsi que des serveurs du gouvernement fédéral allemand, il est clair que la sensibilisation et les actions en matière de cybersécurité sont au cœur des préoccupations des dirigeants de la région DACH. Le piratage de fin 2018 a été exécuté par un étudiant de 20 ans relativement peu qualifié, son principal point d'accès à des informations hautement sensibles étant simplement possible en devinant des mots de passe. Bien qu'il s'agisse d'un exploit d'authentification extrêmement préoccupant, il a mis en évidence la nécessité d'une bien meilleure sensibilisation à la sécurité au niveau du gouvernement, des entreprises et de la société. Un rapport de 2019 a souligné que L'Allemagne était à la traîne en termes d'initiatives de défense contre la cybersécurité, en s'appuyant sur la législation comme principale tactique. Cependant, avec l'arrivée de DevSecOps en tant que méthodologie de développement idéale, de nombreuses entreprises ont reconnu la nécessité d'une formation pratique, de la création de logiciels sécurisés dès la conception et de programmes de sensibilisation à la sécurité à l'échelle de l'entreprise.
Le cœur de la sécurité logicielle en DACH
Des organisations comme GUÊPE et ONGLET publier des classements vérifiés des vulnérabilités les plus fréquentes. Dans tous les langages, l'injection SQL occupe la première place et, bien qu'elle date de plusieurs décennies, il s'agit d'une faille courante et souvent exploitée avec des conséquences désastreuses.
Logiciel bancaire Swiss BPC, SmartVista, a été alerté d'une vulnérabilité dans SQLi par SwissCert, il est toutefois resté intact pendant des mois malgré le risque de révéler des données sensibles sur les clients, y compris les numéros de cartes de crédit. L'injection SQL peut entraîner et entraîne des violations dangereuses, tout comme le Violation de plusieurs ministères et universités en 2017 aux États-Unis et au Royaume-Uni. La plupart de ces incidents sont dus à des processus de validation des entrées laxistes, qui permettent à un attaquant d'insérer du code malveillant depuis le front-end d'une application. Une autre source de vulnérabilité courante est l'utilisation de code fournisseur non sécurisé qui n'est pas contrôlé pour détecter les bogues de sécurité, et des failles sont ainsi introduites dans un environnement de production préalablement scanné et effacé. Aucun de ces points d'accès n'est spécifique à la région DACH. Il s'agit plutôt d'exemples mondiaux de mauvaises pratiques de sécurité qui ne peuvent pas perdurer alors que le monde produit davantage de code.
Il est impératif de corriger les problèmes dès qu'ils sont découverts, et la décision de SmartVista de traîner les pieds aurait pu être désastreuse. Bien que la DACH ait connu son lot de violations, des directives plus ciblées et un soutien en matière de sensibilisation à la sécurité et de formation pourraient éviter que des problèmes potentiels au niveau organisationnel ne deviennent incontrôlables, ce qui nécessitera une législation beaucoup plus spécifique en matière de formation évaluée pour les développeurs.
Toutes les formations au code sécurisé ne sont pas créées de la même manière.
De nombreuses directives de cybersécurité dans le monde sont de plus en plus complètes, mais elles restent peu spécifiques lorsqu'il s'agit de définir une formation à la sécurité efficace. Le Directive NIS dans l'UE inclut l'exigence de « sensibilisation, de formation et d'éducation » au niveau national, mais l'adoption précipitée d'une solution de formation peut ne pas avoir le résultat escompté en termes de réduction tangible des risques si des éléments clés ne sont pas inclus dans le cadre du renforcement des compétences des développeurs et du changement organisationnel.
Les solutions pédagogiques varient, et la formation doit être spécifique au travail quotidien du développeur (y compris la capacité d'apprendre dans la langue et le cadre de son choix) tout en restant engageante et mesurable dans le temps.
Les solutions de formation statiques, telles que la formation vidéo assistée par ordinateur, sont souvent trop génériques et rarement revisitées ou évaluées en fonction de leur efficacité en matière de sensibilisation et de compétence pour empêcher les vulnérabilités de saisir le code au fur et à mesure de son écriture. Entraînement dynamique, est toutefois essentiel pour améliorer les compétences des développeurs à l'aide d'exemples contextuels, en plus de fournir des mesures qui influencent les processus d'atténuation des activités. Il est fréquemment mis à jour, favorise un niveau élevé de rétention des connaissances et contribue à la formation de développeurs soucieux de la sécurité qui contribuent à une culture de sécurité positive sur leur lieu de travail.
Points de données Secure Code Warrior provenant des pilotes DACH :
Ema Rimeike, directrice des ventes (maîtrise en cybersécurité) de Secure Code Warrior, a travaillé en étroite collaboration avec des organisations de la région DACH, en organisant des programmes pilotes pour les développeurs afin d'évaluer les compétences internes des développeurs en matière de codage sécurisé, leur engagement envers les meilleures pratiques de sécurité, ainsi que la culture de sécurité globale de l'entreprise. Grâce à une formation au code sécurisé dynamique et gamifiée, ses principales conclusions laissent entrevoir un avenir prometteur lorsque les développeurs disposeront des connaissances et des outils nécessaires à une réduction des vulnérabilités réussie dès le début du SDLC.
Au cours de ses programmes pilotes, elle a rassemblé des statistiques basées sur 90 minutes en moyenne passées par utilisateur sur la plateforme Secure Code Warrior (SCW), dans lequel ils ont joué 15 défis de codage sécurisé (des leçons de petite taille, ludiques et à votre rythme) :
Les utilisateurs ont passé en moyenne 5,5 minutes pour relever un défi, contre 3 minutes en moyenne pour les autres pilotes SCW mondiaux.
- Précision par rapport à la confiance : les pilotes du DACH ont enregistré un pourcentage moyen compris entre 88 et 92 % de confiance dans leurs réponses aux défis, mais la précision de ces réponses se situait entre 53 et 66 %
- Plus de 75 % des participants interrogés préfèrent les méthodes de formation gamifiées (ou dynamiques), par opposition aux approches statiques telles que la formation assistée par ordinateur (TCC).
- Parmi les vulnérabilités les plus fréquemment constatées, nous avons vu Défauts d'injection, Mauvaise configuration de la sécurité, Scripting intersite (XSS), Utilisation inappropriée de la plateforme, Contrôle d'accès, Authentification, Corruption de la mémoire, Falsification de demandes intersites, Protection insuffisante de la couche de transport et Redirections et transferts non validés
Ce n'est un secret pour personne qu'en général, de nombreux habitants de la région DACH apprécient une solide éthique de travail et l'accent mis sur la précision, et les développeurs qui ont essayé le programme pilote ne font pas exception. Ces données témoignent de leur méconnaissance de ce type d'entraînement, mais aussi de leur désir de continuer à jouer, d'améliorer leur score et d'éviter d'utiliser la fonction « indice » disponible. Leur désir d'apprendre et de s'améliorer est évident, mais cela montre également qu'il reste encore beaucoup à faire pour mettre en œuvre une formation et une sensibilisation efficaces au sein de l'organisation elle-même.
Une formation de qualité visant à réduire les risques et à neutraliser les vulnérabilités n'est pas un exercice ponctuel, mais bien plus qu'une question de conformité. Les responsables et le personnel d'AppSec doivent déployer un effort pour déployer un programme de sensibilisation à la sécurité assorti d'une stratégie et d'un soutien qui reflètent les objectifs de sécurité fondamentaux et visent à les maintenir à long terme. Il s'agit en fait de l'épine dorsale d'un processus DevSecOps réussi avec des développeurs soucieux de la sécurité.
Que révèle un programme pilote à une organisation ?
Les programmes pilotes de Secure Code Warrior constituent un outil extrêmement précieux pour donner aux entreprises un aperçu de leur état de sécurité actuel (généralement entre 65 et 75 %), ainsi que des domaines à améliorer immédiatement. Ils révèlent :
- Clarification des vulnérabilités qui doivent être traitées en priorité, ainsi que de la question de savoir si cette orientation doit être appliquée à une équipe, une unité commerciale ou un langage de programmation en particulier
- Un éventail de renseignements précis et plus large sur les facteurs de risque de cybersécurité au sein de leur SDLC, incluant le facteur humain du développement logiciel.
- En tirant parti de la plateforme SCW, les organisations pourraient prédire les résultats potentiels des tests internes et avoir la possibilité d'atténuer ces risques dès le départ, en préparant les équipes avant même qu'elles ne soient affectées à un projet spécifique.
Dans les organisations qui ont commencé à déployer des programmes de sécurité complets et efficaces, la direction approuve généralement 1 à 1,5 heure par semaine de développement professionnel pour aider leurs développeurs à améliorer leurs connaissances en matière de codage sécurisé. Cependant, nous constatons que les entreprises s'éloignent du « temps passé à se concentrer sur la plateforme » au profit de « quelles équipes de développement logiciel présentent les risques les plus élevés et les plus faibles pour l'entreprise ». Cela est étroitement lié à la certification et à l'obtention de ceintures formalisées, à la découverte de champions de la sécurité et à des programmes de mentorat pour de meilleurs résultats. L'allocation de temps, associée à une évaluation constructive et positive, est absolument essentielle pour créer des développeurs soucieux de la sécurité qui non seulement apprécient la sécurité, mais réduisent de manière mesurable les risques pour l'entreprise.
Comment les organisations utilisent-elles déjà Secure Code Warrior ?
Plusieurs entreprises utilisent déjà Secure Code Warrior pour sensibiliser, renforcer les compétences des développeurs et développer une culture de sécurité positive.
Par exemple, dans un cas d'utilisation, une équipe formée sur la plateforme a utilisé SCW pour révéler ses forces et ses faiblesses en matière de sécurité :
Action du développeur : Les développeurs ont pu constater leurs propres résultats, indiquant les domaines sur lesquels ils devraient se concentrer et les moyens de s'autogérer, et rythmer la formation pour atténuer les vulnérabilités spécifiques ou les lacunes en matière de connaissances qui les aideront dans les futures versions de logiciels.
Action de gestion : Ils ont analysé les forces et les faiblesses générales au niveau de l'équipe et ont été en mesure de prescrire une approche ludique qui aborde les sujets de préoccupation spécifiques. Cela a créé un parcours éducatif bidirectionnel qui permet d'acquérir rapidement des connaissances pertinentes.
Résultat : Une fois les pentests effectués au niveau de l'équipe, toutes les vulnérabilités sont visibles, et la comparaison des résultats précédents a permis de valider facilement si la formation avait permis de réduire les bogues de sécurité courants.
Cela nous ramène aux étapes initiales du développement logiciel, au cours desquelles les objectifs d'amélioration continue de l'équipe avant la formation et l'introduction des meilleures pratiques de sécurité dès le début peuvent être efficaces, faciles à déployer et faire gagner du temps sur l'ensemble du périmètre de développement.
Équipes de projet DevSecOps
Dans un environnement DevSecOps idéal, plusieurs unités commerciales sont représentées au sein d'une équipe de projet pour décider et obtenir les principaux résultats, dont les meilleures pratiques en matière de sécurité.
En termes de recherche et de planification préalables au projet, la plateforme SCW peut évaluer les compétences en matière de sécurité de l'équipe de développement proposée avant que celle-ci ne commence à travailler, en prédisant les résultats des tests d'intrusion éventuels et les retards liés à la sécurité dans le SDLC, avec suffisamment de temps pour s'y préparer de manière adéquate. Une formation spécifique au code et à la structure du projet peut être créée pour que l'équipe puisse y travailler, y compris un processus d'évaluation/certification qui vérifie les compétences générales en matière de sensibilisation à la sécurité, nécessitant une note de passage prédéfinie avant qu'elles ne soient intégrées aux livrables du projet.
Cette approche présente une immense valeur commerciale pour réduire les coûts liés à la correction des vulnérabilités, atténuer les risques de sécurité, gagner du temps lors des pentests, réduire le coût des programmes de primes coûteux et améliorer les compétences de la cohorte de développement de manière centralisée, durable, évolutive et unifiée.
Conclusion :
Les entreprises sont de plus en plus pressées de donner la priorité à la sécurité, de protéger leurs données et de se conformer à des réglementations de plus en plus strictes à l'échelle mondiale, mais en particulier pour les organisations opérant dans l'UE conformément aux directives strictes du RGPD.
Pour les entreprises de la région DACH, il est clair qu'elles mettent en place des voies de sécurité viables en reliant les efforts et les résultats de formation aux activités du monde réel liées à la prévention des risques, y compris la réduction des vulnérabilités courantes dans le code qu'elles produisent.
Pour élaborer une analyse de rentabilisation réellement quantifiable en faveur d'une augmentation des budgets de sécurité, de la sensibilisation et de la conformité globale, la formation doit être engageante pour les développeurs, cohérente, adaptable et mesurable. Suivre les étapes actuelles de la capacité à adapter la formation appropriée, identifier les champions de la sécurité et mesurer les performances des équipes au fil du temps sont autant d'initiatives vitales, et de nombreuses entreprises avant-gardistes de la région DACH en tirent parti grâce à un projet pilote SCW complet.
De nombreuses entreprises rencontrent des difficultés avec des indicateurs de performance de sécurité trop génériques. Grâce à une utilisation cohérente et à long terme de la plateforme SCW, les entreprises pourraient utiliser des évaluations précises, des cours et des mesures de gestion pour découvrir :
- Réduction des vulnérabilités au fil du temps
- Réduction des coûts liés à la correction des vulnérabilités au fil du temps
- Développement des compétences individuelles et en équipe au fil du temps
- Réduction des coûts et du temps lors de la phase de pentesting
Quels sont les indicateurs que votre organisation suit actuellement, à quelle fréquence sont-ils remesurés et ont-ils connu une nette amélioration au fil du temps ? Dans quelle mesure vos initiatives de formation sont-elles intégrées au flux de travail existant pour les développeurs ?
L'approche dynamique, ludique et complète de SCW est considérée comme un élément crucial du flux de travail du cycle de vie du développement logiciel sécurisé. Les entreprises fournissent à leurs développeurs les outils et les formations appropriés, et intègrent le SCW dans leur flux de travail SSDLC.
%20(1).avif)
.avif)
