Les d\u00e9veloppeurs qui cr\u00e9ent les logiciels, les applications et les programmes qui animent l’activit\u00e9 num\u00e9rique sont devenus la pierre angulaire de nombreuses organisations. La plupart des entreprises modernes ne pourraient pas fonctionner (de mani\u00e8re rentable) sans applications et programmes comp\u00e9titifs, ou sans acc\u00e8s 24 heures sur 24 \u00e0 leurs sites Web et autres infrastructures.<\/p>\n
Et pourtant, ces m\u00eames points de contact sont aussi souvent la passerelle que les pirates et autres utilisateurs malveillants utilisent pour voler des informations, lancer des attaques et servir de tremplin \u00e0 d’autres activit\u00e9s criminelles telles que la fraude et les ran\u00e7ongiciels. <\/p>\n
Les attaques r\u00e9ussies restent fr\u00e9quentes, m\u00eame si les d\u00e9penses en cybers\u00e9curit\u00e9 dans la plupart des organisations sont en hausse, et m\u00eame si les mouvements comme DevSecOps<\/a> d\u00e9placent la s\u00e9curit\u00e9 vers les d\u00e9veloppeurs qui sont aujourd’hui la pierre angulaire de l’entreprise. Les d\u00e9veloppeurs comprennent l’importance de la s\u00e9curit\u00e9 et souhaitent massivement d\u00e9ployer un code s\u00e9curis\u00e9 et de qualit\u00e9, mais les vuln\u00e9rabilit\u00e9s logicielles continuent d’\u00eatre exploit\u00e9es. <\/p>\n Pour la 2\u00e8me ann\u00e9e, Secure Code Warrior a men\u00e9 Enqu\u00eate sur l’\u00e9tat de la s\u00e9curit\u00e9 pilot\u00e9e par les d\u00e9veloppeurs, 2022<\/strong><\/a> en partenariat avec Evans Data Corp en d\u00e9cembre 2021, interrogeant 1 200 d\u00e9veloppeurs dans le monde pour comprendre les comp\u00e9tences, les perceptions et les comportements en mati\u00e8re de pratiques de codage s\u00e9curis\u00e9, ainsi que leur impact et leur pertinence per\u00e7ue dans le cycle de vie du d\u00e9veloppement logiciel (SDLC). <\/p>\n L’enqu\u00eate a identifi\u00e9 l’absence d’une d\u00e9finition claire ou d’une compr\u00e9hension de ce qui constitue un code s\u00e9curis\u00e9. Il s’av\u00e8re qu’il y a un grand \u00e9cart entre ce que les d\u00e9veloppeurs pense<\/em> est un code s\u00e9curis\u00e9, et quel code s\u00e9curis\u00e9 r\u00e9ellement<\/em> est.<\/p>\n Il n’\u00e9tait pas surprenant que l’\u00e9criture de code de qualit\u00e9 soit une priorit\u00e9 absolue pour la communaut\u00e9 du d\u00e9veloppement. Mais interrog\u00e9s sp\u00e9cifiquement sur le code s\u00e9curis\u00e9, seuls 29 % ont d\u00e9clar\u00e9 que la pratique active d’\u00e9criture de code exempt de vuln\u00e9rabilit\u00e9s \u00e9tait une priorit\u00e9. Au lieu de cela, les d\u00e9veloppeurs ont associ\u00e9 des pratiques moins s\u00fbres et beaucoup moins fiables \u00e0 la cr\u00e9ation de code s\u00e9curis\u00e9. Par exemple, examiner le code existant (37\u00a0%) et s’appuyer sur des biblioth\u00e8ques externes pour un code s\u00fbr (37\u00a0%) \u00e9taient les principales pratiques que les d\u00e9veloppeurs associaient au codage s\u00e9curis\u00e9. La r\u00e9utilisation de code qui avait d\u00e9j\u00e0 \u00e9t\u00e9 jug\u00e9 s\u00e9curis\u00e9 (32\u00a0%) \u00e9tait un autre choix populaire. La pratique active consistant \u00e0 \u00e9crire du code exempt de vuln\u00e9rabilit\u00e9s arrive en 6e position avec 29 % d\u00e9clarant qu’il s’agit d’une pratique de pointe dans la cr\u00e9ation de code s\u00e9curis\u00e9. <\/p>\n Interrog\u00e9s plus en d\u00e9tail, le manque de temps et le manque d’approche coh\u00e9rente de la part de la direction ont \u00e9t\u00e9 cit\u00e9s comme les principaux obstacles \u00e0 la cr\u00e9ation d’un code s\u00e9curis\u00e9. <\/p>\n Le recours au code existant est l’un des facteurs qui augmente le risque que des logiciels soient livr\u00e9s avec des vuln\u00e9rabilit\u00e9s exploitables. Aborder cette d\u00e9connexion de ce qui constitue un code s\u00e9curis\u00e9 est n\u00e9cessaire pour que les d\u00e9veloppeurs cr\u00e9ent un code de qualit\u00e9 qui soit \u00e9galement s\u00e9curis\u00e9. <\/p>\n L’un des principaux messages de l’enqu\u00eate \u00e9tait que la communaut\u00e9 des d\u00e9veloppeurs dans son ensemble est remplie de professionnels qui se soucient de ce qu’ils font. \u00c9crire un code de qualit\u00e9 sup\u00e9rieure \u00e9tait extr\u00eamement important pour eux en tant que groupe. Le probl\u00e8me est que dans de nombreux cas, les organisations pour lesquelles ils travaillent n’ont pas identifi\u00e9 les meilleures pratiques n\u00e9cessaires pour produire du code s\u00e9curis\u00e9, et n’ont pas consacr\u00e9 suffisamment de ressources \u00e0 la formation ou permis \u00e0 leurs d\u00e9veloppeurs d’atteindre ces objectifs.<\/p>\n En fait, la plupart des d\u00e9veloppeurs ont d\u00e9clar\u00e9 que leurs organisations n’avaient m\u00eame pas de d\u00e9finition claire de ce qui constitue un code s\u00e9curis\u00e9. L’un des exemples les plus inqui\u00e9tants est que 28\u00a0% des personnes interrog\u00e9es ont d\u00e9clar\u00e9 que leur organisation consid\u00e9rait le code comme s\u00e9curis\u00e9 si aucune violation n’\u00e9tait signal\u00e9e une fois qu’une application ou un programme \u00e9tait d\u00e9ploy\u00e9 dans un environnement de production ou mis \u00e0 la disposition du public.<\/p>\n Cela va probablement sans dire, mais dans le paysage complexe des menaces d’aujourd’hui, esp\u00e9rer simplement de bons r\u00e9sultats sans y travailler produira probablement des r\u00e9sultats pr\u00e9visibles : encore plus de failles de s\u00e9curit\u00e9.<\/p>\n Heureusement, il s’agit d’une situation o\u00f9 il est relativement facile de commencer au moins \u00e0 r\u00e9soudre le probl\u00e8me, puis de commencer \u00e0 travailler vers l’objectif du code s\u00e9curis\u00e9. La premi\u00e8re \u00e9tape, et sans doute la plus importante, consiste pour les organisations \u00e0 d\u00e9finir ce qu’elles consid\u00e8rent comme un code s\u00e9curis\u00e9. Et tout ce qui est en dehors de cette d\u00e9finition doit \u00eatre consid\u00e9r\u00e9 comme non s\u00e9curis\u00e9.<\/p>\n Le codage s\u00e9curis\u00e9 doit \u00eatre d\u00e9fini comme la pratique de d\u00e9veloppeurs qualifi\u00e9s \u00e9crivant du code exempt de vuln\u00e9rabilit\u00e9s, d\u00e8s le d\u00e9but du SDLC. Ce n’est qu’une fois cette pratique d\u00e9finie que la communaut\u00e9 des d\u00e9veloppeurs peut travailler vers cet objectif.<\/em><\/strong><\/p>\n Une fois la d\u00e9finition du code s\u00e9curis\u00e9 \u00e9tablie, les organisations doivent \u00eatre pr\u00eates \u00e0 soutenir ces efforts et leurs d\u00e9veloppeurs qui r\u00e9aliseront l’objectif de mise en \u0153uvre de pratiques de code totalement s\u00e9curis\u00e9. Ce soutien est essentiel. Sans cela, la d\u00e9finition du code s\u00e9curis\u00e9 au sein de votre organisation, bien qu’importante, ne sera gu\u00e8re plus qu’un tigre de papier. Les pratiques de codage s\u00e9curis\u00e9 doivent \u00eatre approuv\u00e9es par la direction et b\u00e9n\u00e9ficier de la consid\u00e9ration, de l’autorit\u00e9 et du budget appropri\u00e9s pour r\u00e9ussir.<\/p>\n Cela peut n\u00e9cessiter de nouveaux objectifs de benchmarking pour les d\u00e9veloppeurs, qui ont traditionnellement \u00e9t\u00e9 mesur\u00e9s sur la vitesse de leur codage. En fait, 37\u00a0% des d\u00e9veloppeurs de l’enqu\u00eate ont d\u00e9clar\u00e9 avoir laiss\u00e9 des vuln\u00e9rabilit\u00e9s connues dans leur code parce que des d\u00e9lais serr\u00e9s ne leur permettaient pas le temps n\u00e9cessaire pour les corriger ou pour coder correctement d\u00e8s le d\u00e9part. <\/p>\n Au d\u00e9but, cela peut signifier augmenter les d\u00e9lais pour donner aux d\u00e9veloppeurs plus de temps pour coder correctement, bien que cette d\u00e9pense de temps au d\u00e9but du processus de codage sera probablement compens\u00e9e plus tard en raison d’un besoin moindre de r\u00e9visions de programme, de correctifs et de post-d\u00e9ploiement. travail. Et \u00e9liminer la possibilit\u00e9 d’une violation d\u00e9ploy\u00e9e peut finir par \u00e9conomiser des centaines d’heures et peut-\u00eatre des millions<\/a> en perte de revenus, en amendes et en frais de nettoyage.<\/p>\n Les d\u00e9veloppeurs auront \u00e9galement besoin d’une formation pratique pertinente, en particulier en ce qui concerne les vuln\u00e9rabilit\u00e9s sp\u00e9cifiques qu’ils sont susceptibles de rencontrer, et d’une aide pour apprendre \u00e0 identifier et \u00e0 corriger les vuln\u00e9rabilit\u00e9s du code. Cela est particuli\u00e8rement vrai \u00e0 la lumi\u00e8re de 36\u00a0% des r\u00e9pondants \u00e0 l’enqu\u00eate qui ont d\u00e9clar\u00e9 vouloir supprimer les vuln\u00e9rabilit\u00e9s de leur code, mais n’avaient pas les comp\u00e9tences ou les connaissances n\u00e9cessaires pour le faire.<\/p>\n Vous voulez lire plus d’informations tir\u00e9es de l’enqu\u00eate de Secure Code Warriors aupr\u00e8s de 1200 d\u00e9veloppeurs du monde entier\u00a0? Vous pouvez y acc\u00e9der ici: \u00c9tat de la s\u00e9curit\u00e9 pilot\u00e9e par les d\u00e9veloppeurs 2022<\/a><\/p>\n <\/p>\n<\/div>\nPourquoi?<\/strong><\/h2>\n
Que peuvent faire les organisations pour rem\u00e9dier \u00e0 la situation\u00a0? <\/strong><\/h2>\n
Faire de l’objectif du code s\u00e9curis\u00e9 une r\u00e9alit\u00e9<\/strong><\/h2>\n