Atténuer la dette technique grâce à une sécurité pilotée par les développeurs
Parlons de la dette
Presque tout le monde sait aujourd'hui que la cybercriminalité est devenue un problème majeur pour notre économie mondiale. En 2022, le coût moyen d'une violation de données aux États-Unis s'élevait à 9,44 millions de dollars, contre 9,05 millions de dollars l'année précédente. Il est important de ne pas ignorer le coût du code non sécurisé et sa dette technique accumulée. Selon le 2022 Consortium pour la qualité de l'information et des logiciels : le coût d'une mauvaise qualité logicielle rapport, on estime que le coût d'un logiciel de mauvaise qualité aux États-Unis est passé à 2,41 billions de dollars et que la dette technique logicielle cumulée est passée à 1,52 billion de dollars.
Les coûts croissants liés à la résolution du code non sécurisé et à sa dette technique sont devenus le principal obstacle à la modification des bases de code existantes, les rendant ainsi vulnérables à l'exploitation et aux menaces externes. L'état de la sécurité logicielle fait face à une crise existentielle. Nous savons que nous devons améliorer notre posture en matière de sécurité et remédier à la dette technique accumulée, mais les obstacles sont énormes :
- Il y a environ 300 000 emplois vacants dans le domaine des développeurs de logiciels et des technologies de l'information aux États-Unis, avec un taux de croissance projeté de 15 %
- On prévoit que d'ici 2025, 40 % des budgets informatiques seront consacrés au simple maintien de la dette technologique
- Un tiers des heures hebdomadaires des développeurs sont consacrées en moyenne à la gestion de la dette technologique
Les solutions rapides sont risquées et coûtent plus cher à long terme
Qu'est-ce que la dette technique et pourquoi est-elle si importante ? La dette technologique s'accumule lorsque les décideurs optent pour une solution à court terme à un problème de développement logiciel, au lieu d'une solution plus exhaustive et à long terme. Cela s'accompagne d'un coût caché important que les organisations doivent payer ultérieurement. Tout comme une carte de crédit au maximum, la dette technique comporte deux éléments principaux :
- Directeur - fait référence au coût total de la refactorisation ou de la correction d'un logiciel afin qu'il atteigne le niveau souhaité de maintenabilité et de sécurité.
- Intérêt - les efforts supplémentaires que les développeurs consacrent à ces modifications uniquement pour répondre à la dette technique, et non à de nouvelles fonctionnalités. Chaque minute passée sur un code qui n'est pas tout à fait correct ajoute des intérêts à la dette.
On peut éventuellement atteindre un état de « faillite technique » lorsque le coût des nouvelles fonctionnalités, des corrections de bogues et de la maintenance dépasse le budget du projet, ce qui fait chuter la valeur de l'application logicielle de manière significative.
Cependant, une certaine accumulation de dettes, comme dans la vie, est normale et, dans la plupart des cas, quelque peu prévisible.
Idéalement, tous les développeurs de logiciels devraient réduire les bogues autant que possible avant d'expédier le code. Cependant, elles sont confrontées à un compromis difficile : pour être compétitive, une organisation peut souhaiter proposer des fonctionnalités ou des produits à ses clients rapidement et à un coût minimal. Par conséquent, la qualité de l'application en souffre car les KPI des développeurs sont basés sur la rapidité de livraison et le coût initial de sa création. Ce qui manque à l'image, ce sont les lacunes accumulées et les vulnérabilités potentielles intégrées au code. Cela laisse place à des bogues ou à des failles de sécurité à terme ou, pire encore, à une exploitation par de mauvais acteurs.
Mais voici l'énigme : existe-t-il une autre façon d'expédier des produits rapidement sans accumuler une dette technique massive ?
Le coût de la détection et de la correction des déficiences et des vulnérabilités constitue la dépense la plus importante du cycle de vie du développement logiciel. Plus les problèmes sont détectés tôt dans le cycle de développement, plus la fourniture globale sera rentable.
La dette technique peut évoluer vers une dette de sécurité
De nombreux développeurs tentent de contourner ce compromis en utilisant du code source ouvert pour les aider à agir rapidement et, idéalement, en utilisant une solution déjà approuvée. Cependant, en s'appuyant largement sur les logiciels open source présente souvent ses propres risques:
- 82 % des composants open source se sont révélés obsolètes (c'est-à-dire qu'ils n'avaient pas été corrigés ou n'étaient pas bien pris en charge)
- 75 % des bases de code contenaient des vulnérabilités (contre 60 % en 2018) et 49 % contenaient des vulnérabilités à haut risque
- En moyenne, 82 vulnérabilités ont été identifiées par base de code
Cela fait proliférer un sous-ensemble de la dette technique, la dette de sécurité. La dette de sécurité est l'accumulation de vulnérabilités dans une application logicielle qui rend plus difficile, voire impossible, la protection des données et des systèmes contre une attaque.
L'un des exemples les plus connus est Equifax, le géant de l'évaluation du crédit piraté en 2017 car il n'avait pas réussi à corriger une vulnérabilité connue dans Apache Struts, un framework d'applications Web open source populaire. Le correctif était disponible depuis des mois, mais la faille a compromis les données personnelles cruciales de plus de 147 millions de personnes.
Par conséquent, une plus grande attention doit être accordée aux pratiques de codage sécurisées, car de nombreuses applications ont atteint une masse critique, non seulement en termes de dette technique, mais aussi en termes de densité de failles de sécurité et de vulnérabilités au sein de l'application elle-même.
Cela peut entraîner d'énormes pertes, qui peuvent être tangibles ou intangibles :
Atteinte à la réputation : La perte de confiance des clients peut avoir un impact extrêmement négatif à terme. Cela peut inclure des dommages à la marque, des pertes de ventes et des problèmes juridiques coûteux à la suite d'une violation.
Impact sur la réglementation et la conformité : Si une faille de sécurité peut amener une entreprise à ne pas respecter un délai et/ou des obligations contractuelles. Le non-respect d'un SLA peut entraîner des problèmes pour une entreprise avec les régulateurs, ce qui peut entraîner des amendes importantes.
Coûts de remise en état : Un travail supplémentaire est souvent nécessaire à la suite d'une panne ou d'une panne pour compenser la perte de productivité.
Prévention de la dette technique et de sécurité dans le SDLC
De nombreuses organisations modifient déjà leur budget afin de renforcer leur dispositif de sécurité. L'année dernière, Google a engagé 10 milliards de dollars sur 5 ans pour financer un programme visant à renforcer la cybersécurité. L'administration Biden a également demandé 2,1 milliards de dollars dans le budget discrétionnaire de 2022 pour l'Agence de cybersécurité et de sécurité des infrastructures (CISA).
Fournir davantage de ressources et de formations pour aider à renforcer le développement professionnel et les connaissances de vos développeurs peut être la première étape de l'établissement de normes de qualité pour tout le code mis en production.
Les coûts liés à la détection et à la correction d'une vulnérabilité ou d'un défaut augmentent de façon exponentielle à mesure que le problème est détecté et corrigé à la fin du cycle de développement logiciel. Et comme nous l'avons vu, alors qu'elles consacrent tant de temps à régler leur dette technique et de sécurité, les entreprises génèrent leurs propres pertes en renonçant à l'innovation et en consacrant du temps à de nouvelles fonctionnalités ou à de nouveaux produits.
En 2022, la majorité des équipes de développeurs ont déclaré que DevOps ou DevSecOps était leur méthodologie de choix, et il n'est pas surprenant de savoir pourquoi. DevSecOps intègre la sécurité à chaque étape du cycle de vie du développement logiciel afin de fournir des applications de meilleure qualité et plus sécurisées. Les équipes de sécurité et de développement continuent de travailler en silos et sont confrontées à des tensions, mais il est clair que cela doit changer pour aider les entreprises à réussir. DevOps fait partie de la manière dont les organisations tentent de faire tomber les barrières et de remodeler leur culture. L'objectif fondamental de DevSecOps est de renforcer la collaboration entre AppSec/ Security et les développeurs dès le début du cycle de vie du développement logiciel.
La mise en œuvre d'une nouvelle façon de penser la gestion de la dette et de la sécurité techniques ne doit pas être un exploit monumental. L'établissement d'un état d'esprit proactif par le biais de formations est essentiel pour améliorer la sensibilisation à la sécurité et les compétences de la communauté des développeurs d'une organisation. Une solide formation au codage sécurisé pour les développeurs garantit que l'apprentissage est continu, interactif, pertinent et contextuel, c'est une nécessité. Une approche véritablement holistique doit prendre en compte les éléments nécessaires pour favoriser une véritable culture de sécurité dirigée par les développeurs. Cela peut nécessiter de changer d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs.
Il n'est pas facile de créer un changement de culture, mais Secure Code Warrior vous aide à identifier vos champions de la sécurité et à doter les développeurs et les organisations des compétences nécessaires pour relever les défis de sécurité en constante évolution d'aujourd'hui.
Le lancement d'un programme de code sécurisé engageant et évolutif constitue un investissement rentable en raison de l'approche préventive à long terme de la sécurité, au lieu de la méthode réactive du passé. Cela permet en fin de compte d'atténuer les risques coûteux liés à une violation, d'informer les développeurs sur la manière de détecter et de corriger rapidement les vulnérabilités, et de faciliter une approche plus agile pour se concentrer sur le développement de produits et accélérer les délais de mise sur le marché.
Le coût de la résolution du code non sécurisé et de la dette technique qui en résulte est l'un des principaux obstacles auxquels la technologie est confrontée aujourd'hui. Découvrez comment la mise en œuvre d'un programme de formation au code sécurisé évolutif permet de réduire la dette technique en corrigeant les mauvais modèles de codage et en détectant les vulnérabilités dès le début du cycle de développement logiciel.
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約する
Taylor Broadfoot-Nymark est responsable du marketing produit chez Secure Code Warrior. Elle a écrit plusieurs articles sur la cybersécurité et l'apprentissage agile, et dirige également les lancements de produits, la stratégie GTM et la défense des intérêts des clients.
Parlons de la dette
Presque tout le monde sait aujourd'hui que la cybercriminalité est devenue un problème majeur pour notre économie mondiale. En 2022, le coût moyen d'une violation de données aux États-Unis s'élevait à 9,44 millions de dollars, contre 9,05 millions de dollars l'année précédente. Il est important de ne pas ignorer le coût du code non sécurisé et sa dette technique accumulée. Selon le 2022 Consortium pour la qualité de l'information et des logiciels : le coût d'une mauvaise qualité logicielle rapport, on estime que le coût d'un logiciel de mauvaise qualité aux États-Unis est passé à 2,41 billions de dollars et que la dette technique logicielle cumulée est passée à 1,52 billion de dollars.
Les coûts croissants liés à la résolution du code non sécurisé et à sa dette technique sont devenus le principal obstacle à la modification des bases de code existantes, les rendant ainsi vulnérables à l'exploitation et aux menaces externes. L'état de la sécurité logicielle fait face à une crise existentielle. Nous savons que nous devons améliorer notre posture en matière de sécurité et remédier à la dette technique accumulée, mais les obstacles sont énormes :
- Il y a environ 300 000 emplois vacants dans le domaine des développeurs de logiciels et des technologies de l'information aux États-Unis, avec un taux de croissance projeté de 15 %
- On prévoit que d'ici 2025, 40 % des budgets informatiques seront consacrés au simple maintien de la dette technologique
- Un tiers des heures hebdomadaires des développeurs sont consacrées en moyenne à la gestion de la dette technologique
Les solutions rapides sont risquées et coûtent plus cher à long terme
Qu'est-ce que la dette technique et pourquoi est-elle si importante ? La dette technologique s'accumule lorsque les décideurs optent pour une solution à court terme à un problème de développement logiciel, au lieu d'une solution plus exhaustive et à long terme. Cela s'accompagne d'un coût caché important que les organisations doivent payer ultérieurement. Tout comme une carte de crédit au maximum, la dette technique comporte deux éléments principaux :
- Directeur - fait référence au coût total de la refactorisation ou de la correction d'un logiciel afin qu'il atteigne le niveau souhaité de maintenabilité et de sécurité.
- Intérêt - les efforts supplémentaires que les développeurs consacrent à ces modifications uniquement pour répondre à la dette technique, et non à de nouvelles fonctionnalités. Chaque minute passée sur un code qui n'est pas tout à fait correct ajoute des intérêts à la dette.
On peut éventuellement atteindre un état de « faillite technique » lorsque le coût des nouvelles fonctionnalités, des corrections de bogues et de la maintenance dépasse le budget du projet, ce qui fait chuter la valeur de l'application logicielle de manière significative.
Cependant, une certaine accumulation de dettes, comme dans la vie, est normale et, dans la plupart des cas, quelque peu prévisible.
Idéalement, tous les développeurs de logiciels devraient réduire les bogues autant que possible avant d'expédier le code. Cependant, elles sont confrontées à un compromis difficile : pour être compétitive, une organisation peut souhaiter proposer des fonctionnalités ou des produits à ses clients rapidement et à un coût minimal. Par conséquent, la qualité de l'application en souffre car les KPI des développeurs sont basés sur la rapidité de livraison et le coût initial de sa création. Ce qui manque à l'image, ce sont les lacunes accumulées et les vulnérabilités potentielles intégrées au code. Cela laisse place à des bogues ou à des failles de sécurité à terme ou, pire encore, à une exploitation par de mauvais acteurs.
Mais voici l'énigme : existe-t-il une autre façon d'expédier des produits rapidement sans accumuler une dette technique massive ?
Le coût de la détection et de la correction des déficiences et des vulnérabilités constitue la dépense la plus importante du cycle de vie du développement logiciel. Plus les problèmes sont détectés tôt dans le cycle de développement, plus la fourniture globale sera rentable.
La dette technique peut évoluer vers une dette de sécurité
De nombreux développeurs tentent de contourner ce compromis en utilisant du code source ouvert pour les aider à agir rapidement et, idéalement, en utilisant une solution déjà approuvée. Cependant, en s'appuyant largement sur les logiciels open source présente souvent ses propres risques:
- 82 % des composants open source se sont révélés obsolètes (c'est-à-dire qu'ils n'avaient pas été corrigés ou n'étaient pas bien pris en charge)
- 75 % des bases de code contenaient des vulnérabilités (contre 60 % en 2018) et 49 % contenaient des vulnérabilités à haut risque
- En moyenne, 82 vulnérabilités ont été identifiées par base de code
Cela fait proliférer un sous-ensemble de la dette technique, la dette de sécurité. La dette de sécurité est l'accumulation de vulnérabilités dans une application logicielle qui rend plus difficile, voire impossible, la protection des données et des systèmes contre une attaque.
L'un des exemples les plus connus est Equifax, le géant de l'évaluation du crédit piraté en 2017 car il n'avait pas réussi à corriger une vulnérabilité connue dans Apache Struts, un framework d'applications Web open source populaire. Le correctif était disponible depuis des mois, mais la faille a compromis les données personnelles cruciales de plus de 147 millions de personnes.
Par conséquent, une plus grande attention doit être accordée aux pratiques de codage sécurisées, car de nombreuses applications ont atteint une masse critique, non seulement en termes de dette technique, mais aussi en termes de densité de failles de sécurité et de vulnérabilités au sein de l'application elle-même.
Cela peut entraîner d'énormes pertes, qui peuvent être tangibles ou intangibles :
Atteinte à la réputation : La perte de confiance des clients peut avoir un impact extrêmement négatif à terme. Cela peut inclure des dommages à la marque, des pertes de ventes et des problèmes juridiques coûteux à la suite d'une violation.
Impact sur la réglementation et la conformité : Si une faille de sécurité peut amener une entreprise à ne pas respecter un délai et/ou des obligations contractuelles. Le non-respect d'un SLA peut entraîner des problèmes pour une entreprise avec les régulateurs, ce qui peut entraîner des amendes importantes.
Coûts de remise en état : Un travail supplémentaire est souvent nécessaire à la suite d'une panne ou d'une panne pour compenser la perte de productivité.
Prévention de la dette technique et de sécurité dans le SDLC
De nombreuses organisations modifient déjà leur budget afin de renforcer leur dispositif de sécurité. L'année dernière, Google a engagé 10 milliards de dollars sur 5 ans pour financer un programme visant à renforcer la cybersécurité. L'administration Biden a également demandé 2,1 milliards de dollars dans le budget discrétionnaire de 2022 pour l'Agence de cybersécurité et de sécurité des infrastructures (CISA).
Fournir davantage de ressources et de formations pour aider à renforcer le développement professionnel et les connaissances de vos développeurs peut être la première étape de l'établissement de normes de qualité pour tout le code mis en production.
Les coûts liés à la détection et à la correction d'une vulnérabilité ou d'un défaut augmentent de façon exponentielle à mesure que le problème est détecté et corrigé à la fin du cycle de développement logiciel. Et comme nous l'avons vu, alors qu'elles consacrent tant de temps à régler leur dette technique et de sécurité, les entreprises génèrent leurs propres pertes en renonçant à l'innovation et en consacrant du temps à de nouvelles fonctionnalités ou à de nouveaux produits.
En 2022, la majorité des équipes de développeurs ont déclaré que DevOps ou DevSecOps était leur méthodologie de choix, et il n'est pas surprenant de savoir pourquoi. DevSecOps intègre la sécurité à chaque étape du cycle de vie du développement logiciel afin de fournir des applications de meilleure qualité et plus sécurisées. Les équipes de sécurité et de développement continuent de travailler en silos et sont confrontées à des tensions, mais il est clair que cela doit changer pour aider les entreprises à réussir. DevOps fait partie de la manière dont les organisations tentent de faire tomber les barrières et de remodeler leur culture. L'objectif fondamental de DevSecOps est de renforcer la collaboration entre AppSec/ Security et les développeurs dès le début du cycle de vie du développement logiciel.
La mise en œuvre d'une nouvelle façon de penser la gestion de la dette et de la sécurité techniques ne doit pas être un exploit monumental. L'établissement d'un état d'esprit proactif par le biais de formations est essentiel pour améliorer la sensibilisation à la sécurité et les compétences de la communauté des développeurs d'une organisation. Une solide formation au codage sécurisé pour les développeurs garantit que l'apprentissage est continu, interactif, pertinent et contextuel, c'est une nécessité. Une approche véritablement holistique doit prendre en compte les éléments nécessaires pour favoriser une véritable culture de sécurité dirigée par les développeurs. Cela peut nécessiter de changer d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs.
Il n'est pas facile de créer un changement de culture, mais Secure Code Warrior vous aide à identifier vos champions de la sécurité et à doter les développeurs et les organisations des compétences nécessaires pour relever les défis de sécurité en constante évolution d'aujourd'hui.
Le lancement d'un programme de code sécurisé engageant et évolutif constitue un investissement rentable en raison de l'approche préventive à long terme de la sécurité, au lieu de la méthode réactive du passé. Cela permet en fin de compte d'atténuer les risques coûteux liés à une violation, d'informer les développeurs sur la manière de détecter et de corriger rapidement les vulnérabilités, et de faciliter une approche plus agile pour se concentrer sur le développement de produits et accélérer les délais de mise sur le marché.
Parlons de la dette
Presque tout le monde sait aujourd'hui que la cybercriminalité est devenue un problème majeur pour notre économie mondiale. En 2022, le coût moyen d'une violation de données aux États-Unis s'élevait à 9,44 millions de dollars, contre 9,05 millions de dollars l'année précédente. Il est important de ne pas ignorer le coût du code non sécurisé et sa dette technique accumulée. Selon le 2022 Consortium pour la qualité de l'information et des logiciels : le coût d'une mauvaise qualité logicielle rapport, on estime que le coût d'un logiciel de mauvaise qualité aux États-Unis est passé à 2,41 billions de dollars et que la dette technique logicielle cumulée est passée à 1,52 billion de dollars.
Les coûts croissants liés à la résolution du code non sécurisé et à sa dette technique sont devenus le principal obstacle à la modification des bases de code existantes, les rendant ainsi vulnérables à l'exploitation et aux menaces externes. L'état de la sécurité logicielle fait face à une crise existentielle. Nous savons que nous devons améliorer notre posture en matière de sécurité et remédier à la dette technique accumulée, mais les obstacles sont énormes :
- Il y a environ 300 000 emplois vacants dans le domaine des développeurs de logiciels et des technologies de l'information aux États-Unis, avec un taux de croissance projeté de 15 %
- On prévoit que d'ici 2025, 40 % des budgets informatiques seront consacrés au simple maintien de la dette technologique
- Un tiers des heures hebdomadaires des développeurs sont consacrées en moyenne à la gestion de la dette technologique
Les solutions rapides sont risquées et coûtent plus cher à long terme
Qu'est-ce que la dette technique et pourquoi est-elle si importante ? La dette technologique s'accumule lorsque les décideurs optent pour une solution à court terme à un problème de développement logiciel, au lieu d'une solution plus exhaustive et à long terme. Cela s'accompagne d'un coût caché important que les organisations doivent payer ultérieurement. Tout comme une carte de crédit au maximum, la dette technique comporte deux éléments principaux :
- Directeur - fait référence au coût total de la refactorisation ou de la correction d'un logiciel afin qu'il atteigne le niveau souhaité de maintenabilité et de sécurité.
- Intérêt - les efforts supplémentaires que les développeurs consacrent à ces modifications uniquement pour répondre à la dette technique, et non à de nouvelles fonctionnalités. Chaque minute passée sur un code qui n'est pas tout à fait correct ajoute des intérêts à la dette.
On peut éventuellement atteindre un état de « faillite technique » lorsque le coût des nouvelles fonctionnalités, des corrections de bogues et de la maintenance dépasse le budget du projet, ce qui fait chuter la valeur de l'application logicielle de manière significative.
Cependant, une certaine accumulation de dettes, comme dans la vie, est normale et, dans la plupart des cas, quelque peu prévisible.
Idéalement, tous les développeurs de logiciels devraient réduire les bogues autant que possible avant d'expédier le code. Cependant, elles sont confrontées à un compromis difficile : pour être compétitive, une organisation peut souhaiter proposer des fonctionnalités ou des produits à ses clients rapidement et à un coût minimal. Par conséquent, la qualité de l'application en souffre car les KPI des développeurs sont basés sur la rapidité de livraison et le coût initial de sa création. Ce qui manque à l'image, ce sont les lacunes accumulées et les vulnérabilités potentielles intégrées au code. Cela laisse place à des bogues ou à des failles de sécurité à terme ou, pire encore, à une exploitation par de mauvais acteurs.
Mais voici l'énigme : existe-t-il une autre façon d'expédier des produits rapidement sans accumuler une dette technique massive ?
Le coût de la détection et de la correction des déficiences et des vulnérabilités constitue la dépense la plus importante du cycle de vie du développement logiciel. Plus les problèmes sont détectés tôt dans le cycle de développement, plus la fourniture globale sera rentable.
La dette technique peut évoluer vers une dette de sécurité
De nombreux développeurs tentent de contourner ce compromis en utilisant du code source ouvert pour les aider à agir rapidement et, idéalement, en utilisant une solution déjà approuvée. Cependant, en s'appuyant largement sur les logiciels open source présente souvent ses propres risques:
- 82 % des composants open source se sont révélés obsolètes (c'est-à-dire qu'ils n'avaient pas été corrigés ou n'étaient pas bien pris en charge)
- 75 % des bases de code contenaient des vulnérabilités (contre 60 % en 2018) et 49 % contenaient des vulnérabilités à haut risque
- En moyenne, 82 vulnérabilités ont été identifiées par base de code
Cela fait proliférer un sous-ensemble de la dette technique, la dette de sécurité. La dette de sécurité est l'accumulation de vulnérabilités dans une application logicielle qui rend plus difficile, voire impossible, la protection des données et des systèmes contre une attaque.
L'un des exemples les plus connus est Equifax, le géant de l'évaluation du crédit piraté en 2017 car il n'avait pas réussi à corriger une vulnérabilité connue dans Apache Struts, un framework d'applications Web open source populaire. Le correctif était disponible depuis des mois, mais la faille a compromis les données personnelles cruciales de plus de 147 millions de personnes.
Par conséquent, une plus grande attention doit être accordée aux pratiques de codage sécurisées, car de nombreuses applications ont atteint une masse critique, non seulement en termes de dette technique, mais aussi en termes de densité de failles de sécurité et de vulnérabilités au sein de l'application elle-même.
Cela peut entraîner d'énormes pertes, qui peuvent être tangibles ou intangibles :
Atteinte à la réputation : La perte de confiance des clients peut avoir un impact extrêmement négatif à terme. Cela peut inclure des dommages à la marque, des pertes de ventes et des problèmes juridiques coûteux à la suite d'une violation.
Impact sur la réglementation et la conformité : Si une faille de sécurité peut amener une entreprise à ne pas respecter un délai et/ou des obligations contractuelles. Le non-respect d'un SLA peut entraîner des problèmes pour une entreprise avec les régulateurs, ce qui peut entraîner des amendes importantes.
Coûts de remise en état : Un travail supplémentaire est souvent nécessaire à la suite d'une panne ou d'une panne pour compenser la perte de productivité.
Prévention de la dette technique et de sécurité dans le SDLC
De nombreuses organisations modifient déjà leur budget afin de renforcer leur dispositif de sécurité. L'année dernière, Google a engagé 10 milliards de dollars sur 5 ans pour financer un programme visant à renforcer la cybersécurité. L'administration Biden a également demandé 2,1 milliards de dollars dans le budget discrétionnaire de 2022 pour l'Agence de cybersécurité et de sécurité des infrastructures (CISA).
Fournir davantage de ressources et de formations pour aider à renforcer le développement professionnel et les connaissances de vos développeurs peut être la première étape de l'établissement de normes de qualité pour tout le code mis en production.
Les coûts liés à la détection et à la correction d'une vulnérabilité ou d'un défaut augmentent de façon exponentielle à mesure que le problème est détecté et corrigé à la fin du cycle de développement logiciel. Et comme nous l'avons vu, alors qu'elles consacrent tant de temps à régler leur dette technique et de sécurité, les entreprises génèrent leurs propres pertes en renonçant à l'innovation et en consacrant du temps à de nouvelles fonctionnalités ou à de nouveaux produits.
En 2022, la majorité des équipes de développeurs ont déclaré que DevOps ou DevSecOps était leur méthodologie de choix, et il n'est pas surprenant de savoir pourquoi. DevSecOps intègre la sécurité à chaque étape du cycle de vie du développement logiciel afin de fournir des applications de meilleure qualité et plus sécurisées. Les équipes de sécurité et de développement continuent de travailler en silos et sont confrontées à des tensions, mais il est clair que cela doit changer pour aider les entreprises à réussir. DevOps fait partie de la manière dont les organisations tentent de faire tomber les barrières et de remodeler leur culture. L'objectif fondamental de DevSecOps est de renforcer la collaboration entre AppSec/ Security et les développeurs dès le début du cycle de vie du développement logiciel.
La mise en œuvre d'une nouvelle façon de penser la gestion de la dette et de la sécurité techniques ne doit pas être un exploit monumental. L'établissement d'un état d'esprit proactif par le biais de formations est essentiel pour améliorer la sensibilisation à la sécurité et les compétences de la communauté des développeurs d'une organisation. Une solide formation au codage sécurisé pour les développeurs garantit que l'apprentissage est continu, interactif, pertinent et contextuel, c'est une nécessité. Une approche véritablement holistique doit prendre en compte les éléments nécessaires pour favoriser une véritable culture de sécurité dirigée par les développeurs. Cela peut nécessiter de changer d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs.
Il n'est pas facile de créer un changement de culture, mais Secure Code Warrior vous aide à identifier vos champions de la sécurité et à doter les développeurs et les organisations des compétences nécessaires pour relever les défis de sécurité en constante évolution d'aujourd'hui.
Le lancement d'un programme de code sécurisé engageant et évolutif constitue un investissement rentable en raison de l'approche préventive à long terme de la sécurité, au lieu de la méthode réactive du passé. Cela permet en fin de compte d'atténuer les risques coûteux liés à une violation, d'informer les développeurs sur la manière de détecter et de corriger rapidement les vulnérabilités, et de faciliter une approche plus agile pour se concentrer sur le développement de produits et accélérer les délais de mise sur le marché.
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
レポートを表示するデモを予約する
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約するTaylor Broadfoot-Nymark est responsable du marketing produit chez Secure Code Warrior. Elle a écrit plusieurs articles sur la cybersécurité et l'apprentissage agile, et dirige également les lancements de produits, la stratégie GTM et la défense des intérêts des clients.
Parlons de la dette
Presque tout le monde sait aujourd'hui que la cybercriminalité est devenue un problème majeur pour notre économie mondiale. En 2022, le coût moyen d'une violation de données aux États-Unis s'élevait à 9,44 millions de dollars, contre 9,05 millions de dollars l'année précédente. Il est important de ne pas ignorer le coût du code non sécurisé et sa dette technique accumulée. Selon le 2022 Consortium pour la qualité de l'information et des logiciels : le coût d'une mauvaise qualité logicielle rapport, on estime que le coût d'un logiciel de mauvaise qualité aux États-Unis est passé à 2,41 billions de dollars et que la dette technique logicielle cumulée est passée à 1,52 billion de dollars.
Les coûts croissants liés à la résolution du code non sécurisé et à sa dette technique sont devenus le principal obstacle à la modification des bases de code existantes, les rendant ainsi vulnérables à l'exploitation et aux menaces externes. L'état de la sécurité logicielle fait face à une crise existentielle. Nous savons que nous devons améliorer notre posture en matière de sécurité et remédier à la dette technique accumulée, mais les obstacles sont énormes :
- Il y a environ 300 000 emplois vacants dans le domaine des développeurs de logiciels et des technologies de l'information aux États-Unis, avec un taux de croissance projeté de 15 %
- On prévoit que d'ici 2025, 40 % des budgets informatiques seront consacrés au simple maintien de la dette technologique
- Un tiers des heures hebdomadaires des développeurs sont consacrées en moyenne à la gestion de la dette technologique
Les solutions rapides sont risquées et coûtent plus cher à long terme
Qu'est-ce que la dette technique et pourquoi est-elle si importante ? La dette technologique s'accumule lorsque les décideurs optent pour une solution à court terme à un problème de développement logiciel, au lieu d'une solution plus exhaustive et à long terme. Cela s'accompagne d'un coût caché important que les organisations doivent payer ultérieurement. Tout comme une carte de crédit au maximum, la dette technique comporte deux éléments principaux :
- Directeur - fait référence au coût total de la refactorisation ou de la correction d'un logiciel afin qu'il atteigne le niveau souhaité de maintenabilité et de sécurité.
- Intérêt - les efforts supplémentaires que les développeurs consacrent à ces modifications uniquement pour répondre à la dette technique, et non à de nouvelles fonctionnalités. Chaque minute passée sur un code qui n'est pas tout à fait correct ajoute des intérêts à la dette.
On peut éventuellement atteindre un état de « faillite technique » lorsque le coût des nouvelles fonctionnalités, des corrections de bogues et de la maintenance dépasse le budget du projet, ce qui fait chuter la valeur de l'application logicielle de manière significative.
Cependant, une certaine accumulation de dettes, comme dans la vie, est normale et, dans la plupart des cas, quelque peu prévisible.
Idéalement, tous les développeurs de logiciels devraient réduire les bogues autant que possible avant d'expédier le code. Cependant, elles sont confrontées à un compromis difficile : pour être compétitive, une organisation peut souhaiter proposer des fonctionnalités ou des produits à ses clients rapidement et à un coût minimal. Par conséquent, la qualité de l'application en souffre car les KPI des développeurs sont basés sur la rapidité de livraison et le coût initial de sa création. Ce qui manque à l'image, ce sont les lacunes accumulées et les vulnérabilités potentielles intégrées au code. Cela laisse place à des bogues ou à des failles de sécurité à terme ou, pire encore, à une exploitation par de mauvais acteurs.
Mais voici l'énigme : existe-t-il une autre façon d'expédier des produits rapidement sans accumuler une dette technique massive ?
Le coût de la détection et de la correction des déficiences et des vulnérabilités constitue la dépense la plus importante du cycle de vie du développement logiciel. Plus les problèmes sont détectés tôt dans le cycle de développement, plus la fourniture globale sera rentable.
La dette technique peut évoluer vers une dette de sécurité
De nombreux développeurs tentent de contourner ce compromis en utilisant du code source ouvert pour les aider à agir rapidement et, idéalement, en utilisant une solution déjà approuvée. Cependant, en s'appuyant largement sur les logiciels open source présente souvent ses propres risques:
- 82 % des composants open source se sont révélés obsolètes (c'est-à-dire qu'ils n'avaient pas été corrigés ou n'étaient pas bien pris en charge)
- 75 % des bases de code contenaient des vulnérabilités (contre 60 % en 2018) et 49 % contenaient des vulnérabilités à haut risque
- En moyenne, 82 vulnérabilités ont été identifiées par base de code
Cela fait proliférer un sous-ensemble de la dette technique, la dette de sécurité. La dette de sécurité est l'accumulation de vulnérabilités dans une application logicielle qui rend plus difficile, voire impossible, la protection des données et des systèmes contre une attaque.
L'un des exemples les plus connus est Equifax, le géant de l'évaluation du crédit piraté en 2017 car il n'avait pas réussi à corriger une vulnérabilité connue dans Apache Struts, un framework d'applications Web open source populaire. Le correctif était disponible depuis des mois, mais la faille a compromis les données personnelles cruciales de plus de 147 millions de personnes.
Par conséquent, une plus grande attention doit être accordée aux pratiques de codage sécurisées, car de nombreuses applications ont atteint une masse critique, non seulement en termes de dette technique, mais aussi en termes de densité de failles de sécurité et de vulnérabilités au sein de l'application elle-même.
Cela peut entraîner d'énormes pertes, qui peuvent être tangibles ou intangibles :
Atteinte à la réputation : La perte de confiance des clients peut avoir un impact extrêmement négatif à terme. Cela peut inclure des dommages à la marque, des pertes de ventes et des problèmes juridiques coûteux à la suite d'une violation.
Impact sur la réglementation et la conformité : Si une faille de sécurité peut amener une entreprise à ne pas respecter un délai et/ou des obligations contractuelles. Le non-respect d'un SLA peut entraîner des problèmes pour une entreprise avec les régulateurs, ce qui peut entraîner des amendes importantes.
Coûts de remise en état : Un travail supplémentaire est souvent nécessaire à la suite d'une panne ou d'une panne pour compenser la perte de productivité.
Prévention de la dette technique et de sécurité dans le SDLC
De nombreuses organisations modifient déjà leur budget afin de renforcer leur dispositif de sécurité. L'année dernière, Google a engagé 10 milliards de dollars sur 5 ans pour financer un programme visant à renforcer la cybersécurité. L'administration Biden a également demandé 2,1 milliards de dollars dans le budget discrétionnaire de 2022 pour l'Agence de cybersécurité et de sécurité des infrastructures (CISA).
Fournir davantage de ressources et de formations pour aider à renforcer le développement professionnel et les connaissances de vos développeurs peut être la première étape de l'établissement de normes de qualité pour tout le code mis en production.
Les coûts liés à la détection et à la correction d'une vulnérabilité ou d'un défaut augmentent de façon exponentielle à mesure que le problème est détecté et corrigé à la fin du cycle de développement logiciel. Et comme nous l'avons vu, alors qu'elles consacrent tant de temps à régler leur dette technique et de sécurité, les entreprises génèrent leurs propres pertes en renonçant à l'innovation et en consacrant du temps à de nouvelles fonctionnalités ou à de nouveaux produits.
En 2022, la majorité des équipes de développeurs ont déclaré que DevOps ou DevSecOps était leur méthodologie de choix, et il n'est pas surprenant de savoir pourquoi. DevSecOps intègre la sécurité à chaque étape du cycle de vie du développement logiciel afin de fournir des applications de meilleure qualité et plus sécurisées. Les équipes de sécurité et de développement continuent de travailler en silos et sont confrontées à des tensions, mais il est clair que cela doit changer pour aider les entreprises à réussir. DevOps fait partie de la manière dont les organisations tentent de faire tomber les barrières et de remodeler leur culture. L'objectif fondamental de DevSecOps est de renforcer la collaboration entre AppSec/ Security et les développeurs dès le début du cycle de vie du développement logiciel.
La mise en œuvre d'une nouvelle façon de penser la gestion de la dette et de la sécurité techniques ne doit pas être un exploit monumental. L'établissement d'un état d'esprit proactif par le biais de formations est essentiel pour améliorer la sensibilisation à la sécurité et les compétences de la communauté des développeurs d'une organisation. Une solide formation au codage sécurisé pour les développeurs garantit que l'apprentissage est continu, interactif, pertinent et contextuel, c'est une nécessité. Une approche véritablement holistique doit prendre en compte les éléments nécessaires pour favoriser une véritable culture de sécurité dirigée par les développeurs. Cela peut nécessiter de changer d'orientation par rapport aux méthodes habituelles de gestion et de constitution d'équipes de développeurs.
Il n'est pas facile de créer un changement de culture, mais Secure Code Warrior vous aide à identifier vos champions de la sécurité et à doter les développeurs et les organisations des compétences nécessaires pour relever les défis de sécurité en constante évolution d'aujourd'hui.
Le lancement d'un programme de code sécurisé engageant et évolutif constitue un investissement rentable en raison de l'approche préventive à long terme de la sécurité, au lieu de la méthode réactive du passé. Cela permet en fin de compte d'atténuer les risques coûteux liés à une violation, d'informer les développeurs sur la manière de détecter et de corriger rapidement les vulnérabilités, et de faciliter une approche plus agile pour se concentrer sur le développement de produits et accélérer les délais de mise sur le marché.
%20(1).avif)
.avif)
