Les développeurs professionnels veulent faire ce qu’il faut, mais en termes de sécurité, ils sont rarement configurés pour réussir. Les organisations doivent soutenir leur perfectionnement avec une formation de précision et des incitations si elles veulent un logiciel sécurisé à partir de zéro.
Le paysage des cybermenaces se complexifie de jour en jour, nos données étant largement considérées comme un « or numérique » hautement souhaitable. Les attaquants analysent constamment les réseaux à la recherche d’applications, de programmes, d’instances cloud vulnérables, et la dernière saveur du mois est les API, avec Gartner prédire correctement qu’ils deviendraient le vecteur d’attaque le plus courant en 2022, et c’est en grande partie grâce à leurs contrôles de sécurité souvent laxistes.
Les acteurs de la menace sont si persistants que de nouvelles applications peuvent parfois être compromises et exploitées dans les heures qui suivent leur déploiement. La Rapport d’enquête sur les violations de données Verizon 2022 révèle que les erreurs et les erreurs de configuration étaient à l’origine de 13 % des violations, l’élément humain étant globalement responsable de 82 % des 23 000 incidents analysés.
Il devient très clair que la seule façon de vraiment fortifier le logiciel en cours de création est de s’assurer qu’il repose sur un code sécurisé. En d’autres termes, la meilleure façon d’arrêter l’invasion des acteurs menaçants est de leur refuser d’abord l’accès à votre logiciel. Les cybercriminels ont un net avantage face aux organisations qui se bousculent pour défendre leur surface d’attaque souvent vaste, et toute fenêtre d’opportunité qui peut être fermée pour de bon réduit considérablement les risques.
Nous empêchons les stars de la sécurité de briller
Le statu quo actuel pour les développeurs de nombreuses organisations est tel que leur rôle principal est de créer des fonctionnalités impressionnantes et de déployer rapidement des logiciels. Plus les développeurs peuvent coder et déployer rapidement, plus ils ont tendance à être considérés comme précieux en termes d’évaluation des performances.
La sécurité peut être une réflexion après coup, si elle n’est pas prise en compte du tout, et est manifestement absente en tant que mesure du succès des développeurs. La Enquête 2022 sur l’état de la sécurité pilotée par les développeurs en collaboration avec Evans Data soutient cette perspective, 86 % des développeurs interrogés révélant qu’ils ne considèrent pas la sécurité des applications comme une priorité absolue. Au lieu de cela, une grande partie de cela est laissée aux équipes de sécurité des applications (AppSec) pour le comprendre. Les équipes AppSec ont tendance à être une source de frustration pour la plupart des développeurs, car elles renvoyaient souvent des applications terminées en développement pour appliquer des correctifs de sécurité ou pour réécrire du code afin de remédier à des vulnérabilités. Et chaque heure qu’un développeur passait à travailler sur une application déjà « terminée » était une heure pendant laquelle il ne créait pas de nouvelles applications et fonctionnalités, diminuant ainsi leurs performances (et leur valeur, aux yeux d’une entreprise particulièrement punitive).
Cependant, l’environnement moderne des menaces a obligé tout le monde, des entreprises aux ministères, à repenser l’importance et la hiérarchisation de la sécurité, et ils seraient bien placés pour considérer comment la cohorte de développement s’inscrit dans une approche défensive. Selon le récent Rapport 2022 sur le coût d’une violation de données d’IBM et du Ponemon Institute, la violation moyenne de la cybersécurité coûte désormais environ 4,24 millions de dollars par incident, bien que ce ne soit pas la limite supérieure. Les entreprises d’aujourd’hui veulent la sécurité offerte par DevSecOps, mais, malheureusement, ont été lentes à récompenser les développeurs qui répondent à cet appel.
Dire simplement aux équipes de développement de tenir compte de la sécurité ne fonctionnera pas, surtout si elles sont toujours incitées uniquement en fonction de la vitesse. En fait, dans un tel système, les développeurs qui prennent le temps de se renseigner sur la sécurité et de sécuriser leur code pourraient en fait perdre de meilleures évaluations de performances et des bonus lucratifs que leurs collègues moins conscients de la sécurité continuent de gagner. C’est presque comme si les entreprises truquaient involontairement le système pour leurs propres lacunes en matière de sécurité, et cela revient à leur perception de l’équipe de développement. S’ils ne les considèrent pas comme les premières lignes de la sécurité, il est très peu probable qu’un plan viable d’utilisation de leur main-d’œuvre se concrétise.
Et cela ne tient même pas compte du manque de formation. Certains développeurs très compétents ont des décennies d’expérience dans le codage, mais très peu en matière de sécurité… après tout, cela ne leur a jamais été demandé, ni une mesure de réussite ou de qualité du travail. À moins qu’une entreprise ne propose un bon programme de formation, elle ne peut guère s’attendre à ce que ses développeurs acquièrent soudainement de nouvelles compétences et les mettent en action d’une manière significative qui réduise activement les vulnérabilités.
(Vous voulez affronter d’autres développeurs d’élite du monde entier ou nommer votre propre équipe de développeurs de superstars de la sécurité ? Rejoindre Guerrier du code sécuriséc’est Jeux olympiques de développement 2022notre plus grand et meilleur tournoi mondial de codage sécurisé, et vous pourriez gagner gros !)
Récompenser les développeurs pour leurs bonnes pratiques de sécurité
La bonne nouvelle est que l’écrasante majorité des développeurs font leur travail parce qu’ils le trouvent à la fois stimulant et gratifiant, et parce qu’ils apprécient le respect que leur poste implique. Ingénieur logiciel à vie Michael Shpilt a récemment écrit sur toutes ces choses qui le motivent, lui et ses collègues, dans leur travail de développement. Oui, il énumère la compensation monétaire parmi ces incitations, mais c’est étonnamment loin dans la liste. Au lieu de cela, il donne la priorité au frisson de créer quelque chose de nouveau, au développement des compétences et à la satisfaction de savoir que son travail va être directement utilisé pour aider les autres. Il parle également de vouloir se sentir valorisé au sein de son entreprise et de sa communauté. En bref, les développeurs ne sont pas différents de beaucoup de bonnes personnes qui sont fières de leur travail.
Les développeurs comme Shpilt ne veulent pas que les pirates compromettent leur code et l’utilisent pour nuire à leur entreprise ou aux utilisateurs qu’ils essaient d’aider. Mais, ils ne peuvent pas soudainement déplacer leurs priorités vers la sécurité sans soutien.
Pour aider les équipes de développement à améliorer leurs prouesses en matière de cybersécurité, il faut d’abord leur enseigner les compétences nécessaires. L’utilisation d’une approche à plusieurs niveaux de l’apprentissage – ainsi que des outils spécialement conçus pour s’intégrer de manière transparente dans leur flux de travail réel – peut rendre ce processus beaucoup moins pénible tout en aidant à s’appuyer sur les connaissances existantes dans le bon contexte.
Avec un engagement à améliorer les compétences en place, les anciennes méthodes d’évaluation des développeurs basées uniquement sur la vitesse doivent être éliminées. Au lieu de cela, les développeurs devraient être récompensés en fonction de leur capacité à créer de bons modèles de codage sécurisés, les meilleurs candidats devenant champions de la sécurité qui aident le reste de l’équipe à améliorer leurs compétences. Et ces champions doivent être récompensés à la fois par le prestige de l’entreprise et par une compensation monétaire. Il est également important de se rappeler que les développeurs n’ont généralement pas une expérience positive de la sécurité, et les élever avec un apprentissage positif et amusant et des incitations qui correspondent à leurs intérêts contribueront grandement à assurer à la fois la rétention des connaissances et le désir de continuer à développer leurs compétences. .
(Vous voulez affronter d’autres développeurs d’élite du monde entier ou nommer votre propre équipe de développeurs de superstars de la sécurité ? Rejoindre Guerrier du code sécuriséc’est Jeux olympiques de développement 2022et vous pourriez remporter un gros prix en cash dans nos tournois mondiaux !)